Le gouvernement américain met en garde contre une nouvelle souche du virus chinois “Taidoor”

1

Les agences de renseignement américaines ont publié des informations sur une nouvelle variante du virus informatique vieux de 12 ans utilisé par les pirates informatiques parrainés par l’État chinois et ciblant les gouvernements, les entreprises et les groupes de réflexion.

Baptisé « Taidoor », le malware a fait un “excellent” travail de compromission des systèmes dès 2008, les acteurs le déployant sur les réseaux des victimes pour obtenir un accès à distance furtif.

Le FBI est convaincu que les acteurs du gouvernement chinois utilisent des variantes de logiciels malveillants en conjonction avec des serveurs proxy pour maintenir une présence sur les réseaux des victimes et pour poursuivre l’exploitation du réseau“, a déclaré l’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA), le Federal Bureau of Enquête (FBI) et le ministère de la Défense (DoD)DANS UN AVIS CONJOINT.

Le Cyber ​​Command américain a également téléchargé quatre échantillons du RAT Taidoor sur le référentiel public de logiciels malveillants VirusTotal pour permettre à plus de 50 sociétés antivirus de vérifier l’implication du virus dans d’autres campagnes non attribuées.

Cependant, le malware lui-même n’est pas nouveau. Dans une analyse réalisée par des chercheurs de Trend Micro en 2012, les acteurs derrière Taidoor se sont avérés exploiter les e-mails d’ingénierie sociale avec des pièces jointes PDF malveillantes pour cibler le gouvernement taïwanais.

Appelant cela une « menace persistante et en constante évolution », FireEye a noté des changements importants dans ses tactiques en 2013, dans lesquels « les pièces jointes malveillantes des e-mails n’ont pas supprimé directement le malware Taidoor, mais ont plutôt supprimé un téléchargeur / downloader qui a ensuite récupéré le malware Taidoor traditionnel de l’Internet.”

Puis l’année dernière, NTT Security a découvert des preuves de l’utilisation de la porte dérobée contre des organisations japonaises via des documents Microsoft Word. Lorsqu’il est ouvert, il exécute le malware pour établir la communication avec un serveur contrôlé par un attaquant et exécuter des commandes arbitraires.

Selon le dernier avis, cette technique d’utilisation de documents leurres contenant du contenu malveillant attaché à des e-mails de spear-phishing n’a pas changé.

“Taidoor est installé sur le système d’une cible en tant que bibliothèque de liens dynamiques (DLL) de service et se compose de deux fichiers”, ont déclaré les agences. “Le premier fichier est un chargeur, qui est démarré en tant que service. Le chargeur (ml.dll) déchiffre le deuxième fichier (svchost.dll) et l’exécute en mémoire, qui est le principal cheval de Troie d’accès à distance (RAT).”

En plus d’exécuter des commandes à distance, Taidoor est livré avec des fonctionnalités qui lui permettent de collecter les données du système de fichiers, d’extraire des captures d’écran et d’effectuer les opérations sur les fichiers nécessaires pour exfiltrer les informations collectées.

La CISA recommande aux utilisateurs et aux administrateurs de maintenir à jour les correctifs de leur système d’exploitation, de désactiver les services de partage de fichiers et d’imprimantes, d’appliquer une politique de mot de passe forte et de faire preuve de prudence lors de l’ouverture des pièces jointes aux e-mails.

Vous pouvez trouver la liste complète des meilleures pratiques ici.

1 COMMENTAIRE

  1. […] Le gouvernement américain met en garde contre une nouvelle souche du virus chinois “Taidoor”https://www.undernews.fr/malwares-virus-antivirus/le-gouvernement-americain-met-en-garde-contre-une-…ℹ LEAK – Intel victime d’une fuite de données massive, 20Go de propriété intellectuelle […]

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.