Όπως ανακοίνωσαν τρεις κυβερνητικές υπηρεσίες των ΗΠΑ, ένα νέο στέλεχος κακόβουλου λογισμικού, που ονομάζεται Taidoor, χρησιμοποιήθηκε σε πρόσφατες παραβιάσεις ασφαλείας από hackers της κινεζικής κυβέρνησης.
Η ανακοίνωση κυκλοφόρησε από την CISA, το Cyber Command του Υπουργείου Άμυνας (CyberCom) και το Ομοσπονδιακό Γραφείο Ερευνών (FBI).
Οι τρεις εταιρείες άρχισαν πρόσφατα να συνεργάζονται για την κυκλοφορία κοινών αναφορών σχετικά με νέες απειλές που εμφανίζονται στο διαδίκτυο. Η πρώτη κοινή ειδοποίηση κυκλοφόρησε τον Φεβρουάριο, όταν οι τρεις εταιρείες προειδοποίησαν για έξι νέα στελέχη κακόβουλου λογισμικού που αναπτύχθηκαν από hacker της Βόρειας Κορέας.
Ωστόσο, η πιο πρόσφατη κοινή ειδοποίησή τους, προειδοποιεί για ένα νέο κακόβουλο λογισμικό από την Κίνα.
Ονομάζεται Taidoor και έχει εκδόσεις για συστήματα 32 και 64-bit και συνήθως εγκαθίσταται στα συστήματα ενός θύματος ως DLL. Αυτό το DLL περιέχει δύο άλλα αρχεία.
“Το πρώτο αρχείο είναι ένα loader, που ξεκινά ως υπηρεσία. Το loader αποκρυπτογραφεί το δεύτερο αρχείο και το εκτελεί στη μνήμη, το οποίο είναι το κύριο Remote Access Trojan (RAT).”
Το Taidoor RAT χρησιμοποιείται στη συνέχεια για να επιτρέψει στους Κινέζους hacker να έχουν πρόσβαση σε μολυσμένα συστήματα και να διεισδύσουν σε δεδομένα ή να αναπτύξουν άλλα κακόβουλα προγράμματα.
Το FBI λέει ότι το Taidoor αναπτύσσεται συνήθως μαζί με proxy servers, για να κρύψει το πραγματικό σημείο προέλευσης του χειριστή του κακόβουλου λογισμικού.
Σύμφωνα με την ανακοίνωση, πρόκειται για ένα νέο στέλεχος κακόβουλου λογισμικού, ωστόσο σε ένα tweet της η αμερικανική κυβερνητική διοίκηση δήλωσε ότι το κακόβουλο λογισμικό έχει κυκλοφορήσει και σιωπηλά σε δίκτυα θυμάτων εδώ και τουλάχιστον 12 χρόνια, από το 2008.
Οι τρεις εταιρείες παρουσίασαν επίσης μια κοινή έκθεση ανάλυσης κακόβουλου λογισμικού, που περιέχει προτεινόμενες τεχνικές μετριασμού και προτεινόμενες ενέργειες απόκρισης για οργανισμούς που θέλουν να βελτιώσουν τον εντοπισμό τους, να αποτρέψουν μολύνσεις ή έχουν ήδη μολυνθεί και πρέπει να αφαιρέσουν το κακόβουλο λογισμικό από τα συστήματά τους.
Μετά την κοινή ειδοποίηση, ο Florian Roth, αναλυτής κακόβουλου λογισμικού της Nextron Systems, δήλωσε ότι είχε προηγουμένως εντοπίσει δείγματα του Taidoor, από το Μάρτιο του 2019, αλλά με το όνομα Taurus RAT.
