مرکز تخصصی آپا
گزارش ایالات متحده از جاسوسافزار Taidoor
خلاصه: دولت آمریکا اخیراً اطلاعات مربوط به بدافزاری را منتشرکرد که توسط گروههای تهدید مورد حمایت دولت چین از سال 2008 استفاده میشود. جاسوسافزار موسوم به Taidoor یک تروجان دسترسی از راه دور یا RAT است.
چندین گزارش از تحلیل جاسوسافزاری به نام Taidoor در روزهای اخیر توسط دولت آمریکا به اشتراک گذاشته شده است که این اطلاعات شامل نحوهی استفاده و عملکرد آن است. جاسوسافزاری که توسط گروههای تهدید مورد حمایت دولت چین از سال 2008 استفاده میشود. این بدافزار، یک تروجان دسترسی از راه دور است که بهطورمداوم با سرور C&C خود در ارتباط بوده تا بتواند دستورات لازم را به منظور نفوذ به شبکه هدف دریافت کرده و همینطور به پیشروی و تسخیر شبکههای دیگر ادامه دهد.
«بدافزار Taidoor از سال 2008 مشغول تسخیر سیستمهاست».
«چین با استفاده از بدافزار Taidoor اقدام به جاسوسی از دولتها، شرکتها و اندیشکدهها کرده است».
توئیت فرماندهی سایبری ایالات متحده: U.S.CyberCommand@ ، سوم آگوست 2020
این ستاد همچنین 4 نمونه از بدافزار Taidoor را در سایت VirusTotal بارگذاری کرد.
بدافزار Taidoor دارای دو نسخه 32 و 64 بیتی بوده و بهعنوان یک فایل DLL بر روی سیستم قربانی نصب میشود. برای نصب Taidoor ابتدا DLL بارگذار یا Loader با مشخصات زیر اجرا میشود. وظیفه این بارگذاری آن است که کد Taidoor را رمزگشایی و اجرا کند.
|
ml.dll |
نام |
|
43520 بایت |
سایز |
|
PE32 executable (DLL) (GUI) Intel 80386, for MS Windows |
نوع |
|
6aa08fed32263c052006d977a124ed7b |
MD5 |
|
9a6795333e3352b56a8fd506e463ef634b7636d2 |
SHA1 |
|
4a0688baf9661d3737ee82f8992a0a665732c91704f28688f643115648c107d4 |
SHA256 |
|
768:uGRVnBnwS5kBKsl4anxKFhx3W3kGmifmUED7Bn5f6dBywFmZb:fDeSnbx3okvxVwFI |
ssdeep |
|
5.864467 |
Entropy |
بدافزار Taidoor بلافاصله با استفاده از الگوریتم AES اقدام به رمزگشایی فایل پیکربندی 1616 بایتی میکند. این فایل آدرس سرورهای فرمان و کنترل یا C&C و کلیدهای رمزنگاری دیگری را در خود دارد. کلید AES بکاررفته “2B 7E 15 16 28 AE D2 A6 AB F7 15 88 09 CF 4F 3C” IV: “00” بوده و آدرس سرورها :
cnaweb.mrslove.com
210.68.69.82
پس از اطمینان از ارتباط مطمئن با سرور C&C ارسال اطلاعات از طریق پورت 443 آغاز میشود.
درجدول زیر مشخصات فایل بدافزار ارائه شده است.
|
svchost.dll |
نام |
|
158208 بایت |
سایز |
|
data |
نوع |
|
8cf683b7d181591b91e145985f32664c |
MD5 |
|
f0a20aaf4d2598be043469b69075c00236b7a89a |
SHA1 |
|
363ea096a3f6d06d56dc97ff1618607d462f366139df70c88310bbf77b9f9f90 |
SHA256 |
|
3072:fRxYk0d5+6/kdGyfitoxNsUZE2XZ+4Duz6fCKmjjwF5PaT:JqkoiGiZxE4qRKqgIT |
ssdeep |
|
7.998691 |
Entropy |
انتشار این اطلاعات و اعلان هشدارهایی از« FBI»، «آژانس امنیت سایبری و امنیت زیرساخت» یا «CISA» و «وزارت دفاع» ایالات متحده آمریکا به دلیل افزایش فعالیتهای بدافزار در پی شیوع ویروس کرونا است:
«مهاجمین با استفاده از این بدافزار سعی در شناسایی و کسب مالکیت معنوی و اطلاعات بهداشت عمومی مرتبط با واکسن، درمان، آزمایشات و ... از شبکهها و کارکنان درگیر در تحقیقات COVID-19 هستند».
در پایان پیشنهاد میشود که تمامی مراکز تحقیقاتی و درمانی کشور عزیزمان در این حوزه، با حساسیت بیشتری به حفظ امنیت اطلاعات خود بپردازند.
