美國政府警告中國駭客以新變種Taidoor發動攻擊台灣政府曾經受害過

美國情報中心及警方本周發佈報告，指一隻中國政府支持的駭客組織使用12年的病毒新變種，近日又針對美國政府單位、企業及智庫發動攻擊。

名為Taidoor的惡意程式本身並不新。2008年初中國駭客就用它駭入受害者網路中，以便暗中遠端存取，而且「成績斐然」。

美國作戰指揮部、網路安全與基礎架構安全署(CISA)、聯邦調查局(FBI)及國土安全部發佈的聯合安全公告指出，「FBI相信中國政府正利用惡意程式變種連同代理伺服器潛入受害者網路，以便進一步發動網路攻擊。」

網路作戰指揮部也上傳了4隻Taidoor RAT樣本到公開掃瞄平台VirusTotal讓50多個防毒引擎掃瞄這隻程式是否還涉入其他行動。

根據趨勢科技2012年的分析，Taidoor背後的組織曾對台灣政府單位以社交工程手法發動釣魚郵件，散佈惡意PDF文件。

FireEye發現Taidoor 2013年轉向長期、持續性威脅手法，不再以惡意郵件直接丟出Taidoor，而是植入下載器(downloader)，後者再從網際網路上下載Taidoor。

去年NTT Security也發現這隻後門被包含在Microsoft Word文件中攻擊日本公司。用戶一開啟文件，就會執行，並和駭客控制的伺服器建立連結，同時執行任意指令。

根據美國政府公告，駭客以精準電子郵件發送假文件散佈Taidoor的手法還是一樣。它以服務DLL的形式安裝到目標系統上，內部由兩個檔案組成。第一是一個載入器ml.dll，它會解密第二個檔案svchost.dll，將之寫入記憶體，後者就是傳統的Taidoor RAT程式。

除了執行遠端指令外，Taidoor還具有蒐集檔案系統資料、擷取螢幕畫面，並做必要的檔案運作的功能，以便將資料外洩出去。

CISA建議使用者和管理員升級OS修補程式到最新版、關閉檔案及列印服務、採行強密碼政策，並留意開啟郵件附檔。