Правительство США предупреждает пользователей сети Интернет о появлении нового штамма китайского вируса Taidoor, считая его вредоносным хакерским ПО китайского производства.
На самом деле это не столь уж новый вирус. Спецслужбы США считают его модифицированным вариантом компьютерного вируса 12-летней давности, который ранее использовали китайские хакеры, спонсируемые государством, против правительств, корпораций и аналитических центров. Вредоносная программа, получившая название «Taidoor», уже в 2008 году показала «отличную» работу по компрометации систем, и злоумышленники развернули ее в сетях жертв для скрытого удаленного доступа.
По мнению ФБР, субъекты китайского правительства используют варианты вредоносного ПО в сочетании с прокси-серверами для поддержания присутствия в сетях жертв и дальнейшего использования сети. Это же подтверждают специалисты Агентства США по кибербезопасности и безопасности инфраструктуры (CISA).
Киберкомандование США также загрузило четыре образца Taidoor RAT в общедоступный репозиторий вредоносных программ VirusTotal, чтобы позволить более 50 антивирусным компаниям проверить участие вируса в других кампаниях без указания атрибута.
С этим вирусом в США возятся уже давно. В ходе анализа, проведенного исследователями Trend Micro в 2012 году, было обнаружено, что лица, стоящие за Taidoor, использовали электронные письма, созданные с помощью социальной инженерии, с вредоносными вложениями в формате PDF. Тогда целью таких писем было, якобы, правительство Тайваня.
Назвав это «постоянно развивающейся, постоянной угрозой», FireEye отметил значительные изменения в тактике его применения по сравнению с 2013 годом, когда «вредоносные вложения электронной почты не удаляли вредоносное ПО Taidoor напрямую, а вместо этого сбрасывали «загрузчик», который затем захватил традиционное вредоносное ПО Taidoor из Интернета».
Затем в прошлом году NTT Security обнаружила доказательства использования бэкдора против японских организаций через документы Microsoft Word. При открытии файла запускается вредоносная программа для установления связи с сервером, контролируемым злоумышленником, и выполнения произвольных команд.
Согласно последним рекомендациям, этот метод использования ложных документов, содержащих вредоносный контент, прикрепленный к целевым фишинговым письмам, не изменился.
«Taidoor» устанавливается в целевой системе как служебная библиотека динамической компоновки (DLL) и состоит из двух файлов», - заявили агентства. «Первый файл - это загрузчик, который запускается как служба. Загрузчик (ml.dll) расшифровывает второй файл (svchost.dll) и выполняет его в памяти, которая является основным троянцем удаленного доступа (RAT)».
Помимо выполнения удаленных команд, Taidoor имеет функции, которые позволяют собирать данные файловой системы, делать снимки экрана и выполнять файловые операции, необходимые для извлечения собранной информации.
CISA рекомендует пользователям и администраторам обновлять исправления своих операционных систем, отключать службы общего доступа к файлам и принтерам, применять политику надежных паролей и проявлять осторожность при открытии вложений электронной почты. Эти же рекомендации они дают и всем пользователям интернет ресурсов.