美國政府警告中國駭客以新變種Taidoor發動攻擊 台灣政府曾經受害過
美國情報中心及警方本周發佈報告,指一隻中國政府支持的駭客組織使用12年的病毒新變種,近日又針對美國政府單位、企業及智庫發動攻擊。
名為Taidoor的惡意程式本身並不新。2008年初中國駭客就用它駭入受害者網路中,以便暗中遠端存取,而且「成績斐然」。
美國作戰指揮部、網路安全與基礎架構安全署(CISA)、聯邦調查局(FBI)及國土安全部發佈的聯合安全公告指出,「FBI相信中國政府正利用惡意程式變種連同代理伺服器潛入受害者網路,以便進一步發動網路攻擊。」
網路作戰指揮部也上傳了4隻Taidoor RAT樣本到公開掃瞄平台VirusTotal讓50多個防毒引擎掃瞄這隻程式是否還涉入其他行動。
根據趨勢科技2012年的分析,Taidoor背後的組織曾對台灣政府單位以社交工程手法發動釣魚郵件,散佈惡意PDF文件。
FireEye發現Taidoor 2013年轉向長期、持續性威脅手法,不再以惡意郵件直接丟出Taidoor,而是植入下載器(downloader),後者再從網際網路上下載Taidoor。
去年NTT Security也發現這隻後門被包含在Microsoft Word文件中攻擊日本公司。用戶一開啟文件,就會執行,並和駭客控制的伺服器建立連結,同時執行任意指令。
根據美國政府公告,駭客以精準電子郵件發送假文件散佈Taidoor的手法還是一樣。它以服務DLL的形式安裝到目標系統上,內部由兩個檔案組成。第一是一個載入器ml.dll,它會解密第二個檔案svchost.dll,將之寫入記憶體,後者就是傳統的Taidoor RAT程式。
除了執行遠端指令外,Taidoor還具有蒐集檔案系統資料、擷取螢幕畫面,並做必要的檔案運作的功能,以便將資料外洩出去。
CISA建議使用者和管理員升級OS修補程式到最新版、關閉檔案及列印服務、採行強密碼政策,並留意開啟郵件附檔。