Tre agenzie governative statunitensi, la US Cybersecurity and Infrastructure Security Agency (CISA), il Dipartimento della Difesa (DoD) e il Federal Bureau of Investigation (FBI) hanno recentemente identificato una variante di malware in un’indagine congiunta. Le agenzie, con un avviso, hanno avvertito le organizzazioni americane del malware Taidoor, collegandolo al governo cinese.
Secondo le agenzie, Taidoor non è in realtà una nuova varietà di malware; il governo cinese lo utilizza dal 2008 per colpire agenzie governative, enti privati e gruppi di riflessione in operazioni di spionaggio. Ma si ritiene sia il tipo più recente di malware effettivamente utilizzato dai gruppi di hacker (APT) supportati dal governo cinese dal 2008. Taidoor appartiene alla categoria dei trojan ad accesso remoto (RAT / remote access trojan).
DHS CISA, DoD e FBI hanno concordato che il nuovo malware Taidoor abbia versioni per Windows a 32 e 64 bit. Di solito sono contenuti nel file di estensione DLL (libreria di collegamento dinamico) che consiste in due file di codice dannoso.
“Il primo file è un caricatore che inizia come servizio. Il caricatore decodifica il secondo file e lo esegue in memoria che è il principale trojan di accesso remoto (RAT)”, ha detto la CISA nel suo ultimo rapporto citato da ZDNet.
Taidoor è uno strumento a due fasi, “il primo file è un caricatore progettato per scaricare, decrittografare e installare la parte RAT effettiva del malware. Il caricatore decodifica il secondo file utilizzando un semplice schema di crittografia e, una volta decifrato, il RAT avvia il processo di ricerca di alcuni file specifici sulla macchina e di stabilire comunicazioni con il suo server C2.” – Afferma la CISA nel suo ultimo rapporto citato da ZDNet.
Il vettore di infezione iniziale per Taidoor non è chiaro. Taidoor RAT ha la funzione generale di consentire ai gruppi APT cinesi di accedere a un sistema infetto ed estrarre dati o diffondere altri malware. Secondo l’FBI, Taidoor viene solitamente utilizzato insieme a un server proxy per nascondere il punto di origine originale dell’operatore trojan.
La CISA, nel Malware Analysis Report (MAR) ha pubblicato, oltre all’avviso e ai dettagli tecnici, anche l’aggiornamento della patch del sistema operativo e le raccomandazioni sulle best practice allo scopo di evitare conseguenze indesiderate:
“CISA raccomanda agli utenti e agli amministratori di considerare l’utilizzo delle seguenti best practice per rafforzare la posizione di sicurezza dei sistemi della propria organizzazione. Eventuali modifiche alla configurazione devono essere esaminate dai proprietari e dagli amministratori di sistema prima dell’implementazione per evitare impatti indesiderati.
- Mantieni antivirus signature e engines aggiornati.
- Mantieni aggiornate le patch del sistema operativo.
- Disabilita i servizi di condivisione di file e stampanti. Se sono richiesti questi servizi, utilizzare password complesse o autenticazione di Active Directory.
- Limitare la capacità (autorizzazioni) degli utenti di installare ed eseguire applicazioni software indesiderate. Non aggiungere utenti al gruppo degli amministratori locali se non richiesto.
- Applicare una politica di password complessa e implementare modifiche regolari della password.
- Prestare attenzione quando si aprono gli allegati di posta elettronica anche se l’allegato è atteso e il mittente sembra essere noto.
- Abilitare un firewall personale sulle workstation, configurato per rifiutare le richieste di connessione indesiderate.
- Disabilitare i servizi non necessari su workstation e server.
- Cercare e rimuovere allegati di posta elettronica sospetti; assicurarsi che l’allegato digitalizzato sia il reale tipo di file (ovvero, che l’estensione corrisponda all’intestazione del file).
- Monitorare le abitudini di navigazione web degli utenti; limitare l’accesso a siti con cattivi contenuti.
- Prestare attenzione quando si utilizzano supporti rimovibili (ad es. Chiavette USB, unità esterne, CD, ecc.).
- Effettuare la scansione di tutto il software scaricato da Internet prima dell’esecuzione.
- Mantenere la consapevolezza della situazione riguardo le ultime minacce e implementare elenchi di controllo di accesso (ACL) appropriati.
Inoltre, US Cyber Command DoD ha caricato quattro campioni di malware Taidoor sul portale VirusTotal, la piattaforma che aiuta le aziende di sicurezza informatica e gli analisti di malware indipendenti a scaricare file per analizzare, studiare e trovare ulteriori informazioni”
https://us-cert.cisa.gov/ncas/analysis-reports/ar20-216a