吳明宜美國政府警告中國駭客以新變種 Taidoor 發動攻擊 台灣政府曾經受害過
美國情報中心及警方本周發佈報告,指一隻中國政府支持的駭客組織使用 12 年的病毒新變種,近日又針對美國政府單位、企業及智庫發動攻擊。
名為 Taidoor 的惡意程式本身並不新。2008 年初中國駭客就用它駭入受害者網路中,以便暗中遠端存取,而且「成績斐然」。
美國作戰指揮部、網路安全與基礎架構安全署 (CISA)、聯邦調查局 (FBI) 及國土安全部發佈的聯合安全公告指出,「FBI 相信中國政府正利用惡意程式變種連同代理伺服器潛入受害者網路,以便進一步發動網路攻擊。」
網路作戰指揮部也上傳了 4 隻 Taidoor RAT 樣本到公開掃瞄平台 VirusTotal 讓 50 多個防毒引擎掃瞄這隻程式是否還涉入其他行動。
根據趨勢科技 2012 年的分析,Taidoor 背後的組織曾對台灣政府單位以社交工程手法發動釣魚郵件,散佈惡意 PDF 文件。
FireEye 發現 Taidoor 2013 年轉向長期、持續性威脅手法,不再以惡意郵件直接丟出 Taidoor,而是植入下載器 (downloader),後者再從網際網路上下載 Taidoor。
去年 NTT Security 也發現這隻後門被包含在 Microsoft Word 文件中攻擊日本公司。用戶一開啟文件,就會執行,並和駭客控制的伺服器建立連結,同時執行任意指令。
根據美國政府公告,駭客以精準電子郵件發送假文件散佈 Taidoor 的手法還是一樣。它以服務 DLL 的形式安裝到目標系統上,內部由兩個檔案組成。第一是一個載入器 ml.dll,它會解密第二個檔案 svchost.dll,將之寫入記憶體,後者就是傳統的 Taidoor RAT 程式。
除了執行遠端指令外,Taidoor 還具有蒐集檔案系統資料、擷取螢幕畫面,並做必要的檔案運作的功能,以便將資料外洩出去。
CISA 建議使用者和管理員升級 OS 修補程式到最新版、關閉檔案及列印服務、採行強密碼政策,並留意開啟郵件附檔。