Le autorità statunitensi per la cyber security hanno diramato un nuovo alert riguardante un malware di origine cinese, già piuttosto noto. Nello specifico, CISA (Cybersecurity and Infrastructure Security Agency), FBI e Ministero della Difesa hanno rilevato
nuove varianti del trojan Taidoor e ne
stanno segnalando la pericolosità in rete. Secondo FBI, alcuni state-sponsored actor collegati alla Cina stanno usando varianti di Taidoor per conquistare l'ingresso e la permanenza nelle reti delle aziende-bersaglio.
Per il momento
non si hanno altre segnalazioni di una nuova diffusione di attacchi basati sui Taidoor. Ma l'alert di CISA è particolarmente perentorio. Gli amministratori di rete che dovessero rilevare infezioni devono dare loro "la massima priorità, per una mitigazione estesa" degli effetti dell'attacco.
Taidoor è un RAT. Ossia un Remote Access Trojan. Viene distribuito con
campagne di phishing sotto forma di libreria DLL - ml.dll - la quale opera come un loader. Carica in memoria una seconda DLL - la quale non è altro che
il malware vero e proprio, criptato - e la decifra. A questo punto il RAT è operativo sull'endpoint colpito e esegue la prima connessione con il suo server di comando e controllo (C2).
Taidoor - e quindi le sue varianti - può ricevere vari tipi di comandi dal suo server C2. Tra l'altro può essere usato per
esplorare la rete dove si trova il nodo colpito. O per
scaricare dal server C2 ulteriori file ed eseguirli localmente. Come anche per
trasferire al server file che sono invece presenti sul nodo infettato.
Il lato positivo di Taidoor è che è in circolazione da oltre dieci anni. E in questo lasso di tempo il suo comportamento non è cambiato poi di molto. È quindi
relativamente facile da rilevare con i tool attuali di monitoraggio del malware in rete. L'alert CISA contiene poi tutte le informazioni di dettaglio legate alle nuove varianti. Che sono già state immesse in
VirusTotal.