Les agences de renseignement américaines ont publié des informations sur une nouvelle variante du virus informatique vieux de 12 ans utilisé par les pirates informatiques parrainés par l’État chinois ciblant les gouvernements, les entreprises et les groupes de réflexion.
Nommé « Taidoor,« le malware a fait un ‘excellent’ travail de compromission des systèmes dès 2008, avec les acteurs le déployant sur les réseaux victimes pour un accès distant furtif.
« [The] Le FBI a une grande confiance dans le fait que les acteurs du gouvernement chinois utilisent des variantes de logiciels malveillants en conjonction avec des serveurs proxy pour maintenir une présence sur les réseaux victimes et poursuivre l’exploitation du réseau, « la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, le Federal Bureau of Investigation (FBI) , et le ministère de la Défense (DoD) a déclaré dans un conseil conjoint.
Le Cyber Command américain a également téléchargé quatre échantillons du Taidoor RAT sur le référentiel public de logiciels malveillants VirusTotal pour permettre à plus de 50 sociétés d’antivirus de vérifier l’implication du virus dans d’autres campagnes non attribuées.
Cependant, le malware lui-même n’est pas nouveau. Dans un une analyse par les chercheurs de Trend Micro en 2012, les acteurs derrière Taidoor se sont avérés exploiter les e-mails d’ingénierie sociale avec des pièces jointes PDF malveillantes pour cibler le gouvernement taïwanais.
Appelant cela une «menace persistante et en constante évolution», FireEye a noté des changements significatifs dans sa tactique en 2013, dans lesquels «les pièces jointes malveillantes des e-mails n’ont pas laissé tomber le malware Taidoor directement, mais ont plutôt laissé tomber un« téléchargeur »qui a ensuite récupéré le malware Taidoor traditionnel sur Internet».
Puis l’année dernière, NTT Security preuves découvertes de la porte dérobée utilisée contre des organisations japonaises via des documents Microsoft Word. Lorsqu’il est ouvert, il exécute le malware pour établir la communication avec un serveur contrôlé par un attaquant et exécuter des commandes arbitraires.
Selon le dernier avis, cette technique d’utilisation de documents leurres contenant du contenu malveillant attaché à des e-mails de spear-phishing n’a pas changé.
« Taidoor est installé sur le système d’une cible en tant que bibliothèque de liens dynamiques (DLL) de service et se compose de deux fichiers », ont déclaré les agences. « Le premier fichier est un chargeur, qui est démarré en tant que service. Le chargeur (ml.dll) déchiffre le deuxième fichier (svchost.dll) et l’exécute en mémoire, qui est le principal cheval de Troie d’accès à distance (RAT). »
En plus d’exécuter des commandes à distance, Taidoor est livré avec des fonctionnalités qui lui permettent de collecter les données du système de fichiers, de capturer des captures d’écran et d’effectuer les opérations sur les fichiers nécessaires pour exfiltrer les informations collectées.
CISA recommande aux utilisateurs et aux administrateurs de maintenir à jour les correctifs de leur système d’exploitation, de désactiver les services de partage de fichiers et d’imprimantes, d’appliquer une politique de mot de passe forte et de faire preuve de prudence lors de l’ouverture des pièces jointes.
Vous pouvez trouver la liste complète des bonnes pratiques ici.
