Les agences de renseignement américaines ont publié des informations sur une nouvelle variante du virus informatique vieux de 12 ans utilisé par les pirates informatiques parrainés par l’État chinois et ciblant les gouvernements, les entreprises et les groupes de réflexion.
Baptisé « Taidoor », le malware a fait un “excellent” travail de compromission des systèmes dès 2008, les acteurs le déployant sur les réseaux des victimes pour obtenir un accès à distance furtif.
“Le FBI est convaincu que les acteurs du gouvernement chinois utilisent des variantes de logiciels malveillants en conjonction avec des serveurs proxy pour maintenir une présence sur les réseaux des victimes et pour poursuivre l’exploitation du réseau“, a déclaré l’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA), le Federal Bureau of Enquête (FBI) et le ministère de la Défense (DoD)DANS UN AVIS CONJOINT.
Le Cyber Command américain a également téléchargé quatre échantillons du RAT Taidoor sur le référentiel public de logiciels malveillants VirusTotal pour permettre à plus de 50 sociétés antivirus de vérifier l’implication du virus dans d’autres campagnes non attribuées.
Cependant, le malware lui-même n’est pas nouveau. Dans une analyse réalisée par des chercheurs de Trend Micro en 2012, les acteurs derrière Taidoor se sont avérés exploiter les e-mails d’ingénierie sociale avec des pièces jointes PDF malveillantes pour cibler le gouvernement taïwanais.
Appelant cela une « menace persistante et en constante évolution », FireEye a noté des changements importants dans ses tactiques en 2013, dans lesquels « les pièces jointes malveillantes des e-mails n’ont pas supprimé directement le malware Taidoor, mais ont plutôt supprimé un téléchargeur / downloader qui a ensuite récupéré le malware Taidoor traditionnel de l’Internet.”
Puis l’année dernière, NTT Security a découvert des preuves de l’utilisation de la porte dérobée contre des organisations japonaises via des documents Microsoft Word. Lorsqu’il est ouvert, il exécute le malware pour établir la communication avec un serveur contrôlé par un attaquant et exécuter des commandes arbitraires.
Selon le dernier avis, cette technique d’utilisation de documents leurres contenant du contenu malveillant attaché à des e-mails de spear-phishing n’a pas changé.
“Taidoor est installé sur le système d’une cible en tant que bibliothèque de liens dynamiques (DLL) de service et se compose de deux fichiers”, ont déclaré les agences. “Le premier fichier est un chargeur, qui est démarré en tant que service. Le chargeur (ml.dll) déchiffre le deuxième fichier (svchost.dll) et l’exécute en mémoire, qui est le principal cheval de Troie d’accès à distance (RAT).”
En plus d’exécuter des commandes à distance, Taidoor est livré avec des fonctionnalités qui lui permettent de collecter les données du système de fichiers, d’extraire des captures d’écran et d’effectuer les opérations sur les fichiers nécessaires pour exfiltrer les informations collectées.
La CISA recommande aux utilisateurs et aux administrateurs de maintenir à jour les correctifs de leur système d’exploitation, de désactiver les services de partage de fichiers et d’imprimantes, d’appliquer une politique de mot de passe forte et de faire preuve de prudence lors de l’ouverture des pièces jointes aux e-mails.
Vous pouvez trouver la liste complète des meilleures pratiques ici.
Les commentaires sont fermés.