Chinesische Hacker melden sich zurück

Hafnium greift über Windows-Systeme an

19. April 2022, 11:55 Uhr | Lars Bube | Kommentar(e)
Global News Art - AdobeStock
© Global News Art - AdobeStock

Nach den spektakulären Angriffen auf Exchange-Server versucht die Hackergruppe Hafnium derzeit, sich über Zero-Day-Exploits in Windows Zugang zu fremden Infrastrukturen zu verschaffen und dort Hintertüren für künftige Angriffe einzuschmuggeln. Administratoren sollten deshalb wachsam sein.

Seit die Hackergruppe Hafnium im Frühjahr 2021 weltweit Exchange-Server kompromittierte und sich darüber Zugang zu wichtigen Unternehmen und Behörden verschaffte, behalten Security-Experten sie genauestens im Auge. Nachdem es einige Monate relativ ruhig um die vermutlich mit staatlicher Unterstützung Chinas agierenden Cyberkriminellen war, schlagen die Beobachter jetzt Alarm. Ihnen zufolge ist Hafnium aus dem Dornröschen-Schlaf erwacht und versucht derzeit äußerst aktiv, sich über einen neuen Angriffsweg Zugang zu den Systemen lohnenswerter Opfer zu verschaffen. Wie etwa die Sicherheits-Spezialisten aus Microsofts Detection and Response Team (DART) und Threat Intelligence Center (MSTIC) ausführen, greifen die Hacker dieses Mal direkt lokale Windows-Installationen an.

Über eine Zero-Day-Schwachstelle im Task Scheduler des Betriebssystems schleusen die Angreifer dort die Malware „Tarrask“ ein. Wie schon bei den Exchange-Angriffen gesehen, dient diese Schadsoftware ihnen allerdings nicht dazu, unmittelbaren Schaden anzurichten. Stattdessen soll sie über die infizierten Systeme Zugänge zum Netzwerk schaffen und die Infrastrukturen für künftige Angriffe vorbereiten. Dazu versucht Tarras etwa, wichtige Security-Funktionen zu schwächen und auszuhebeln und weitere Hintertüren für die Angreifer zu implementieren.

Da es aktuell noch keinen Patch für die Schwachstelle gibt, Hafnium sie jedoch bereits gezielt und auf breiter Front angreift, empfiehlt Microsofts DART-Team allen Administratoren, unbedingt selbst aktiv zu werden. Auf einer eigens eingerichteten Seite im Security-Blog beschreibt Microsoft, wie sich verdächtige Aktivitäten und Netzwerkverbindungen bei einer Infektion mit Tarrask mittels entsprechenden Logs im Windows Task Scheduler und über Tools wie den Windows Defender identifizieren und betroffene Clients aufspüren lassen.


Verwandte Artikel

Microsoft

IT-Security

Computerkriminalität

Matchmaker+