El DHS insta a la atención de &#39máxima prioridad&#39 en …


«Taidoor» es una herramienta de acceso remoto que se ha utilizado en numerosas campañas de ciberespionaje desde al menos 2008.

El gobierno de Estados Unidos instó el lunes a las organizaciones empresariales a prestar la atención de «máxima prioridad» a la actividad maliciosa que involucra a «Taidoor», un troyano de acceso remoto chino que se ha utilizado en varias campañas de ciberespionaje desde al menos 2008.

En un Informe de Análisis de Malware (MAR) fechado el 3 de agosto, la Agencia de Seguridad de la Ciberseguridad e Infraestructura (CISA) del Departamento de Seguridad Nacional de EE. UU. Dijo que investigadores de seguridad de múltiples agencias federales habían observado a actores del gobierno chino utilizando una variante del malware en ataques recientes.

Un análisis de la actividad muestra que los atacantes están utilizando variantes de Taidoor junto con servidores proxy para mantener la persistencia en las redes comprometidas y permitir una mayor explotación, según el CISA. los Informe CISA incluyó una lista completa de indicadores de compromiso y medidas sugeridas de mitigación y respuesta que las organizaciones pueden tomar para protegerse contra la nueva amenaza resurgida.

«Los usuarios o administradores deben marcar la actividad asociada con el malware y reportar la actividad a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) o al Cyber ​​Watch del FBI (CyWatch)», señaló el aviso. «Dele a la actividad la máxima prioridad para una mitigación mejorada».

La alerta de CISA es la última que involucra una mayor actividad de amenazas de actores con sede en China. El mes pasado, el gobierno de los Estados Unidos acusó a dos ciudadanos chinos por cargos relacionados con el robo de propiedad intelectual y secretos comerciales, incluida la investigación COVID-19 de organizaciones en los Estados Unidos y en otros lugares. A principios de este año, el gobierno de los EE. UU. Acusó a cuatro miembros del ejército de China por presuntamente estar involucrado en el ataque de Equifax de mayo de 2017. Las acusaciones siguen años de acusaciones de los EE. UU. entidades militares y de defensa, e instituciones académicas.

Taidoor es una herramienta de malware que varios proveedores de seguridad, incluidos FireEye, Development Micro y Symantec, han informado a lo largo de los años. Los investigadores han observado que el malware se usa en campañas de ciberespionaje dirigidas a organizaciones corporativas, grupos de expertos y agencias gubernamentales en Taiwán y otros países con intereses en Taiwán, incluido Estados Unidos.

Amenaza sustancial
Un Pattern Micro detallado análisis técnico del malware en 2012 describió a Taidoor en ese momento como explotando una amplia variedad de vulnerabilidades antiguas y nuevas, incluidos los días cero en múltiples productos, incluidos Adobe Reader, Acrobat, Flash Participant, Microsoft Phrase, PowerPoint y Excel. Una vulnerabilidad de día cero que explotó Taidoor fue «Sandworm», una falla de ejecución remota de código en Windows que se reveló en 2014

En las campañas iniciales, los actores gubernamentales con sede en China detrás de Taidoor han utilizado correos electrónicos de phishing con archivos adjuntos maliciosos para distribuir el malware. Uno de sus trucos implicaba el uso de un documento señuelo que se comportaría como un destinatario podría esperar, mientras ejecuta una carga maliciosa en segundo plano. En campañas posteriores, los operadores de Taidoor dejaron de usar correos electrónicos para colocar el malware directamente en el sistema de la víctima. En cambio, utilizaron los correos electrónicos corruptos para colocar un descargador en un sistema que luego saldría y tomaría el malware de un comando remoto y servidores de command. A septiembre de 2013 Informe FireEye describió una evolución adicional en las tácticas donde, en lugar de alojar el malware en servidores remotos de comando y command, los atacantes comenzaron a alojarlo como texto cifrado en las publicaciones de site de Yahoo.

No está del todo claro qué actividad maliciosa específica que involucra a Taidoor activó la nueva advertencia de CISA esta semana. Hasta ahora, al menos, ninguno de los proveedores que han rastreado previamente el malware ha informado un resurgimiento en la actividad de Taidoor.

Una portavoz de FireEye dice que los investigadores de la compañía aún están investigando qué podría estar pasando.

«Hemos visto que Taidoor se ha utilizado ampliamente en los últimos 10 años, aunque recientemente se ha vuelto menos común, esperamos que todavía esté en uso», agrega Ben Go through, gerente senior de análisis en el grupo Mandiant Danger Intelligence de FireEye. Según Study, FireEye ha observado que el malware se united states of america en ataques contra firmas de abogados, proveedores de energía nuclear, aerolíneas, gobiernos de Asia Oriental, firmas de ingeniería y organizaciones dentro del sector industrial de defensa.

Symantec no respondió de inmediato a una consulta de Lectura oscura. Trend Micro dice que está trabajando para obtener comentarios de sus investigadores en Asia y Europa.

Contenido relacionado:

Regístrese ahora para el Black Hat Usa totalmente virtual de este año, programado para el 1 y 6 de agosto, y obtenga más información sobre el evento en el sitio world wide web de Black Hat. Haga clic para obtener detalles sobre información de la conferencia y para registrarse.

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más tips





Enlace a la noticia initial