Cảnh báo từ Chính phủ Mỹ về virus Taidoor đến từ Trung Quốc

Cảnh báo từ Chính phủ Mỹ về virus Taidoor đến từ Trung Quốc ảnh hưởng nghiêm trọng tới người dùng Internet

Bizfly Cloud cho biết - Các cơ quan tình báo ở Mỹ đã công bố thông tin về một biến thể mới của virus máy tính có tuổi đời 12 năm và được sử dụng bởi các tin tặc Trung Quốc, nhắm vào các chính phủ, tập đoàn lớn.

Được đặt tên là "Taidoor", phần mềm độc hại này đã thực hiện một cách 'xuất sắc' việc xâm nhập gây tổn hại các hệ thống vào đầu năm 2008.

FBI tin rằng các tác nhân từ phía chính phủ Trung Quốc đang sử dụng các biến thể của phần mềm độc hại này kết hợp với máy chủ proxy để duy trì sự kiểm soát các nạn nhân qua internet và để khai thác nhiều thông tin hơn từ các nạn nhân ", Cơ quan an ninh mạng Hoa Kỳ (CISA), Cục điều tra liên bang (FBI), và Bộ Quốc phòng (DoD) cho biết.

Bộ chỉ huy an ninh mạng Hoa Kỳ cũng đã tải lên bốn mẫu Taidoor RAT(RAT-phần mềm độc hại cho phép tin tặc giám sát và kiểm soát máy tính hoặc mạng của nạn nhân) trên kho lưu trữ phần mềm độc hại công khai tại trang VirusTotal. Tại đây, hơn 50 công ty phòng chống virus đã cùng thực hiện kiểm tra xem có sự tham gia của vi-rút Taidoor trong các chiến dịch này không.

Tuy nhiên, phần mềm độc hại này không phải là mới có. Trong một báo cáo phân tích của Trend Micro vào năm 2012, các tác nhân đằng sau Taidoor đã được tìm ra, mục đích là tận dụng các email gắn mác chủ đề về xã hội để gửi các tệp PDF đính kèm chứa phần mềm độc hại tới mục tiêu tấn công, và mục tiêu chính là chính phủ Đài Loan.

"Có thể gọi Taidoor là "mối đe dọa liên tục và lâu dài", FireEye lưu ý những thay đổi đáng kể trong chiến thuật của nó vào năm 2013, trong đó "người bị hại sẽ không tải mã độc trực tiếp từ các email mà kẻ tấn công gửi đến, thay vào đó sẽ có một trình download kết nối tới máy chủ - nơi chứa mã độc - và tải mã độc Taidoor về máy người bị hại."

Vào năm ngoái, bộ phận Bảo An của tập đoàn NTT (Nippon Telegraph and Telephone - Nhật Bản) đã phát hiện ra bằng chứng về việc sử dụng backdoor để chống lại các tổ chức Nhật Bản thông qua các tài liệu Microsoft Word. Khi được mở, nó tự động thực thi phần mềm độc hại để thiết lập kết nối với máy chủ do kẻ tấn công kiểm soát và thực hiện điều khiển máy người bị hại.

Theo các khuyến cáo gần đây nhất, phương thức lừa đảo sử dụng email đính kèm các file tài liệu như PDF có chứa mã độc vẫn không hề thay đổi và được sử dụng khá phổ biến.

Taidoor được cài đặt trên hệ thống của máy tính mục tiêu dưới dạng thư viện liên kết động (DLL) và bao gồm hai tệp. Tệp đầu tiên là một trình tải xuống, được khởi động như một tác vụ. Trình tải (ml.dll) giải mã tệp thứ hai (svchost.dll) và thực thi nó trong bộ nhớ, đó là Trojan cho phép kẻ tấn công truy cập được vào máy tính nạn nhân từ xa hay con gọi là RAT (Remote Access Trojan).

Ngoài việc thực hiện các lệnh từ xa, Taidoor còn có thêm các tính năng cho phép mã độc này thu thập dữ liệu các file hệ thống, chụp ảnh màn hình và thực hiện các thao tác cần thiết để thu thập thông tin.

CISA khuyến nghị người dùng và quản trị viên luôn cập nhật các bản update hệ điều hành của họ, vô hiệu hóa các dịch vụ chia sẻ Tệp và Máy in, thực thi chính sách cài mật khẩu mạnh và thận trọng khi mở tệp đính kèm trong email.

Tham khảo: https://thehackernews.com/2020/08/chinese-hacking-malware.html

BizFly Cloud là hệ sinh thái điện toán đám mây được vận hành bởi VCCorp - Công ty dẫn đầu trong lĩnh vực truyền thông và internet tại Việt Nam. Với đội ngũ kỹ thuật viên trình độ cao và kinh nghiệm lâu năm làm việc trên các công nghệ khác nhau như cloud, mobile, web..., chúng tôi có đủ khả năng để hỗ trợ đưa ra những lời khuyên hữu ích và công nghệ toàn diện giúp doanh nghiệp chuyển đổi số thành công. Dành cho độc giả quan tâm tới các dịch vụ đám mây do BizFly Cloud cung cấp có thể truy cập tại đây.