25 Giugno 2020 - Tempo di lettura: 8 minuti
Un malware identificato di recente viene distribuito incorporato nel software di pagamento fiscale che alcune aziende che operano in Cina sono tenute ad installare.
Soprannominato GoldenSpy, il malware è stato osservato come parte di una campagna presumibilmente iniziata nell'aprile 2020, ma alcuni dei campioni identificati suggeriscono che la minaccia esiste da almeno dicembre 2016.
Una delle organizzazioni compromesse, un fornitore di tecnologia globale che conduce affari governativi negli Stati Uniti, in Australia e nel Regno Unito, e che ha recentemente aperto uffici in Cina, è stato infettato dopo aver installato "Intelligent Tax", un software del dipartimento della Golden Tax di Aisino Corporation, che una banca locale ha richiesto per pagare le tasse locali.
Sebbene funzionasse come pubblicizzato, è stato scoperto che il software installava una backdoor nascosta per offrire agli operatori remoti la possibilità di eseguire comandi di Windows o caricare ed eseguire file.
"Fondamentalmente, era una porta spalancata nella rete con privilegi a livello di SISTEMA e collegata a un server di comando e controllo completamente separato dall'infrastruttura di rete del software fiscale", spiega Brian Hussey, Vice President di Cyber Threat Detection & Response.
Si è scoperto che il malware era firmato digitalmente da una società chiamata Chenkuo Network Technology e funzionava in modo completamente indipendente dal software fiscale. Pertanto, anche se il software Intelligent Tax viene disinstallato, GoldenSpy rimane attivo sul sistema.
Sulle macchine compromesse, GoldenSpy viene scaricato ed eseguito due ore dopo l'installazione del software fiscale. Il malware è stato osservato installando due versioni identiche di se stesso, come servizi di avvio automatico persistenti, e utilizza un modulo exeprotector per garantire la persistenza.
Il malware si collega alla sua infrastruttura su ningzhidata [.] Com , un dominio che ospita anche altre varianti di GoldenSpy e randomizza i tempi dei beacon dopo i primi tre tentativi di connessione al suo server di comando e controllo (C&C).
“GoldenSpy opera con privilegi a livello di SISTEMA, rendendolo estremamente pericoloso e in grado di eseguire qualsiasi software sul sistema. Ciò include malware aggiuntivo o strumenti amministrativi di Windows per condurre ricognizioni, creare nuovi utenti, aumentare i privilegi, ecc. ”Note Trustwave.
Ciò che la società di sicurezza non è stata in grado di determinare è stata la portata completa della campagna GoldenSpy e se l'organizzazione è stata presa di mira a causa del loro accesso a dati vitali o di quante altre società che operano in Cina sono state vittime. Tuttavia, un'attività simile è stata identificata in un istituto finanziario globale.
I campioni GoldenSpy più vecchi risalgono a due mesi dopo che Chenkuo Technology ha annunciato una partnership con Aisino nell'ottobre 2016 per "la cooperazione sui big data". Tuttavia, non è chiaro se le due organizzazioni siano disposte a partecipare agli attacchi.
“GoldenSpy certamente potrebbe consentire l'accesso e la raccolta di big data. Trustwave SpiderLabs non è al corrente se GoldenSpy fosse attivo in natura dal 2016, la nostra prima identificazione dell'utilizzo è stata aprile 2020. Per essere chiari, non conosciamo ancora l'ambito, lo scopo o gli attori dietro la minaccia”, afferma Hussey.
Hussey raccomanda inoltre alle organizzazioni che operano in Cina o che utilizzano il software Aisino Intelligent Tax di considerare l'incidente come una potenziale minaccia e tentare di identificare un possibile compromesso.