吳明宜美國情報中心及警方本周發佈報告,指一隻中國政府支持的駭客組織使用 12 年的病毒新變種,近日又針對美國政府單位、企業及智庫發動攻擊。
名為 Taidoor 的惡意程式本身並不新。 2008 年初中國駭客就用它駭入受害者網路中,以便暗中遠端存取,而且「成績斐然」。
美國作戰指揮部、網路安全與基礎架構安全署 (CISA) 、聯邦調查局 (FBI) 及國土安全部發佈的聯合安全公告指出,「FBI 相信中國政府正利用惡意程式變種連同代理伺服器潛入受害者網路,以便進一步發動網路攻擊。」
網路作戰指揮部也上傳了 4 隻 Taidoor RAT 樣本到公開掃瞄平台 VirusTotal 讓 50 多個防毒引擎掃瞄這隻程式是否還涉入其他行動。
根據趨勢科技 2012 年的分析,Taidoor 背後的組織曾對台灣政府單位以社交工程手法發動釣魚郵件,散佈惡意 PDF 文件。
FireEye 發現 Taidoor 2013 年轉向長期、持續性威脅手法,不再以惡意郵件直接丟出 Taidoor,而是植入下載器 (downloader),後者再從網際網路上下載 Taidoor 。
去年 NTT Security 也發現這隻後門被包含在 Microsoft Word 文件中攻擊日本公司。用戶一開啟文件,就會執行,並和駭客控制的伺服器建立連結,同時執行任意指令。
根據美國政府公告,駭客以精準電子郵件發送假文件散佈 Taidoor 的手法還是一樣。它以服務 DLL 的形式安裝到目標系統上,內部由兩個檔案組成。第一是一個載入器 ml.dll,它會解密第二個檔案 svchost.dll,將之寫入記憶體,後者就是傳統的 Taidoor RAT 程式。
除了執行遠端指令外,Taidoor 還具有蒐集檔案系統資料、擷取螢幕畫面,並做必要的檔案運作的功能,以便將資料外洩出去。
CISA 建議使用者和管理員升級 OS 修補程式到最新版、關閉檔案及列印服務、採行強密碼政策,並留意開啟郵件附檔。