過去針對臺灣的惡意程式Taidoor又出現了！美國政府與警方警告，中國政府支持的駭客正以此變種發動攻擊

美國警方及政府昨日警告，中國政府支持的駭客近日利用惡意程式Taidoor變種發動攻擊。

自2008出現的惡意程式Taidoor，過去不少臺灣政府與企業遭受其害，趨勢科技在2012年針對這隻惡意程式的報告中，指出他們觀察到所有受害者均在臺灣，大多數為政府組織。而在2013年FireEye針對Taidoor的威脅研究報告中，也指出它的受害者包括政府機構、企業與研究分析智庫，而且特別是隻特別針對臺灣的惡意程式。

現在，這隻惡意程式的變種，又有新的攻擊活動跡象值得關注。美國國土安全部（Department of Homeland Security）下的網路作戰指揮部（Cybercomm）、網路安全基礎架構安全署（CISA）及聯邦調查局（FBI）昨日連袂發佈惡意分析報告，發出最高順位的警告，呼籲企業及政府單位啟動網路防護，以免曝露於中國政府的惡意網路活動中。FBI指出，該局「很有信心」中國政府支持的駭客利用惡意程式變種及代理伺服器，已駭入受害者網路中，等待日後發動網路攻擊。

這是今年2月以來，美國政府針對北韓駭客發動6隻惡意程式進行網路攻擊發出警告之後，最新一次要美國企業當心外國政府為主的攻擊行動。

根據網路作戰指揮部的說明，Taidoor早在2008年就被用於系統攻擊。最新發現到的樣本是Taidoor x86及x64版本，它是以一個服務DLL檔安裝到目標系統內，執行後釋出兩個檔案。第一個是Taidoor下載器，負責下載並解密出第二個檔案，即主要的遠端存取木馬程式（RAT），也就是Taidoor，它會被寫入電腦記憶體中執行。Taidoor RAT一半是代理伺服器部署，以避免曝露出來源伺服器。

不過研究也顯示，Taidoor並沒有可以躲過系統重開機以潛伏在電腦中的功能，目前研究人員推斷可能是由其他管道再以DLL檔安裝。

報告指出，當Taidoor進入記憶體中，就會和外部C&C伺服器建立連線，並經由443傳輸埠傳送封包。一如所有RAT的功用，Taidoor也可讓背後的駭客得以蒐集受害系統上的資訊。

為防範Taidoor的危害，美國政府建議企業管理員及個人將病毒特徵碼、作業系統更新到最新版本、安裝個人或企業防火牆，關閉檔案及列印共享服務，若一定得開啟也需使用強密碼或是AD驗證。同時企業非必要，最好不要將用戶設為管理員權限，並養成使用者良好的上網、軟體安裝習慣等。