Các cơ quan tình báo ở Mỹ đã công bố thông tin về một biến thể mới của virus máy tính 12 tuổi được sử dụng bởi các tin tặc do nhà nước Trung Quốc sử dụng nhắm vào các chính phủ, tập đoàn và nghĩ rằng xe tăng.
Được đặt tên “Taidoor,“phần mềm độc hại đã thực hiện một công việc ‘xuất sắc’ là thỏa hiệp các hệ thống đầu năm 2008, với các diễn viên triển khai nó trên các mạng nạn nhân để truy cập từ xa lén lút.
“[The] FBI rất tin tưởng rằng các tác nhân của chính phủ Trung Quốc đang sử dụng các biến thể phần mềm độc hại kết hợp với máy chủ proxy để duy trì sự hiện diện trên các mạng nạn nhân và tiếp tục khai thác mạng, “Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA), Cục điều tra liên bang (FBI) và Bộ Quốc phòng (DoD) cho biết trong một cố vấn chung.
Bộ chỉ huy mạng Hoa Kỳ cũng đã tải lên bốn mẫu của Taidoor RAT trên kho lưu trữ phần mềm độc hại VirusTotal để cho hơn 50 công ty chống vi-rút kiểm tra sự liên quan của vi-rút trong các chiến dịch không được phân bổ khác.
Tuy nhiên, phần mềm độc hại không phải là mới. Trong một phân tích bởi các nhà nghiên cứu của Trend Micro vào năm 2012, các diễn viên đằng sau Taidoor đã được tìm thấy để tận dụng các email được thiết kế xã hội với các tệp đính kèm PDF độc hại để nhắm mục tiêu vào chính phủ Đài Loan.
Gọi nó là “mối đe dọa liên tục phát triển, liên tục,” Ánh mắt rực lửa đã ghi nhận những thay đổi đáng kể trong chiến thuật của nó vào năm 2013, trong đó “các tệp đính kèm email độc hại không trực tiếp loại bỏ phần mềm độc hại Taidoor, mà thay vào đó đã bỏ một ‘trình tải xuống’, sau đó lấy phần mềm độc hại Taidoor truyền thống từ Internet.”
Rồi năm ngoái, NTT Security bằng chứng chưa được khám phá của cửa hậu được sử dụng để chống lại các tổ chức Nhật Bản thông qua các tài liệu Microsoft Word. Khi được mở, nó thực thi phần mềm độc hại để thiết lập liên lạc với máy chủ do kẻ tấn công kiểm soát và chạy các lệnh tùy ý.
Theo lời khuyên mới nhất, kỹ thuật sử dụng tài liệu giải mã có chứa nội dung độc hại được đính kèm với email lừa đảo đã không thay đổi.
“Taidoor được cài đặt trên hệ thống của mục tiêu dưới dạng thư viện liên kết động dịch vụ (DLL) và bao gồm hai tệp”, các cơ quan cho biết. “Tệp đầu tiên là một trình tải, được khởi động như một dịch vụ. Trình tải (ml.dll) giải mã tệp thứ hai (svchost.dll) và thực thi nó trong bộ nhớ, đó là Trojan truy cập từ xa chính (RAT).”
Ngoài việc thực hiện các lệnh từ xa, Taidoor còn đi kèm với các tính năng cho phép nó thu thập dữ liệu hệ thống tệp, chụp ảnh màn hình và thực hiện các thao tác tệp cần thiết để thực hiện thông tin thu thập được.
CISA khuyến nghị người dùng và quản trị viên luôn cập nhật các bản vá hệ điều hành của họ, vô hiệu hóa các dịch vụ chia sẻ Tệp và Máy in, thực thi chính sách mật khẩu mạnh và thận trọng khi mở tệp đính kèm email.
Bạn có thể tìm thấy danh sách đầy đủ của thực hành tốt nhất ở đây.
