خلاصه: دولت آمریکا اخیراً اطلاعات مربوط به بدافزاری را منتشرکرد که توسط گروههای تهدید مورد حمایت دولت چین از سال ۲۰۰۸ استفاده میشود. جاسوسافزار موسوم به Taidoor یک تروجان دسترسی از راه دور یا RAT است.
چندین گزارش از تحلیل جاسوسافزاری به نام Taidoor در روزهای اخیر توسط دولت آمریکا به اشتراک گذاشته شده است که این اطلاعات شامل نحوهی استفاده و عملکرد آن است. جاسوسافزاری که توسط گروههای تهدید مورد حمایت دولت چین از سال ۲۰۰۸ استفاده میشود. این بدافزار، یک تروجان دسترسی از راه دور است که بهطورمداوم با سرور C&C خود در ارتباط بوده تا بتواند دستورات لازم را به منظور نفوذ به شبکه هدف دریافت کرده و همینطور به پیشروی و تسخیر شبکههای دیگر ادامه دهد.
«بدافزار Taidoor از سال ۲۰۰۸ مشغول تسخیر سیستمهاست».
«چین با استفاده از بدافزار Taidoor اقدام به جاسوسی از دولتها، شرکتها و اندیشکدهها کرده است».
توئیت فرماندهی سایبری ایالات متحده: U.S.CyberCommand@ ، سوم آگوست ۲۰۲۰
این ستاد همچنین ۴ نمونه از بدافزار Taidoor را در سایت VirusTotal بارگذاری کرد.
بدافزار Taidoor دارای دو نسخه ۳۲ و ۶۴ بیتی بوده و بهعنوان یک فایل DLL بر روی سیستم قربانی نصب میشود. برای نصب Taidoor ابتدا DLL بارگذار یا Loader با مشخصات زیر اجرا میشود. وظیفه این بارگذاری آن است که کد Taidoor را رمزگشایی و اجرا کند.
|
ml.dll |
نام |
|
۴۳۵۲۰ بایت |
سایز |
|
PE32 executable (DLL) (GUI) Intel 80386, for MS Windows |
نوع |
|
۶aa08fed32263c052006d977a124ed7b |
MD5 |
|
۹a6795333e3352b56a8fd506e463ef634b7636d2 |
SHA1 |
|
۴a0688baf9661d3737ee82f8992a0a665732c91704f28688f643115648c107d4 |
SHA256 |
|
۷۶۸:uGRVnBnwS5kBKsl4anxKFhx3W3kGmifmUED7Bn5f6dBywFmZb:fDeSnbx3okvxVwFI |
ssdeep |
|
۵.۸۶۴۴۶۷ |
Entropy |
بدافزار Taidoor بلافاصله با استفاده از الگوریتم AES اقدام به رمزگشایی فایل پیکربندی ۱۶۱۶ بایتی میکند. این فایل آدرس سرورهای فرمان و کنترل یا C&C و کلیدهای رمزنگاری دیگری را در خود دارد. کلید AES بکاررفته “۲B 7E 15 16 28 AE D2 A6 AB F7 15 88 09 CF 4F 3C” IV: “00” بوده و آدرس سرورها :
cnaweb.mrslove.com
۲۱۰.۶۸.۶۹.۸۲
پس از اطمینان از ارتباط مطمئن با سرور C&C ارسال اطلاعات از طریق پورت ۴۴۳ آغاز میشود.
درجدول زیر مشخصات فایل بدافزار ارائه شده است.
|
svchost.dll |
نام |
|
۱۵۸۲۰۸ بایت |
سایز |
|
data |
نوع |
|
۸cf683b7d181591b91e145985f32664c |
MD5 |
|
f0a20aaf4d2598be043469b69075c00236b7a89a |
SHA1 |
|
۳۶۳ea096a3f6d06d56dc97ff1618607d462f366139df70c88310bbf77b9f9f90 |
SHA256 |
|
۳۰۷۲:fRxYk0d5+6/kdGyfitoxNsUZE2XZ+4Duz6fCKmjjwF5PaT:JqkoiGiZxE4qRKqgIT |
ssdeep |
|
۷.۹۹۸۶۹۱ |
Entropy |
انتشار این اطلاعات و اعلان هشدارهایی از« FBI»، «آژانس امنیت سایبری و امنیت زیرساخت» یا «CISA» و «وزارت دفاع» ایالات متحده آمریکا به دلیل افزایش فعالیتهای بدافزار در پی شیوع ویروس کرونا است:
«مهاجمین با استفاده از این بدافزار سعی در شناسایی و کسب مالکیت معنوی و اطلاعات بهداشت عمومی مرتبط با واکسن، درمان، آزمایشات و ... از شبکهها و کارکنان درگیر در تحقیقات COVID-19 هستند».
در پایان پیشنهاد میشود که تمامی مراکز تحقیقاتی و درمانی کشور عزیزمان در این حوزه، با حساسیت بیشتری به حفظ امنیت اطلاعات خود بپردازند.
