Ένα νέο backdoor, με το όνομα GoldenHelper backdoor, ανακαλύφθηκε από τους ερευνητές της Trustwave ενσωματωμένο στο λογισμικό Golden Tax Invoicing, μέρος του Golden Tax Project της κινεζικής κυβέρνησης. Το λογισμικό αυτό χρησιμοποιείται για την έκδοση τιμολογίων και την πληρωμή φόρων προστιθέμενης αξίας (ΦΠΑ).
Τον περασμένο μήνα, οι ερευνητές της Trustwave SpiderLabs βρήκαν ένα άλλο backdoor, το GoldenSpy, κρυμμένο στο λογισμικό Intelligent Tax, το οποίο οι εταιρείες έπρεπε να εγκαταστήσουν για να συνεργαστούν με κινεζικές τράπεζες.
Το νέο GoldenHelper backdoor είναι διαφορετικό από το GoldenSpy, αλλά χρησιμοποιεί παρόμοια μέθοδο διάδοσης και χρησιμοποιείται επίσης για την απόκτηση πρόσβασης στα δίκτυα διεθνών εταιρειών που δραστηριοποιούνται στην Κίνα.
Η εκστρατεία διανομής του GoldenHelper malware ήταν ενεργή μεταξύ Ιανουαρίου 2018 και Ιουλίου 2019. Τον Απρίλιο του 2020 ξεκίνησε η εκστρατεία διανομής του GoldenSpy.
Προς το παρόν, υπάρχουν μόνο δύο επίσημοι πάροχοι λογισμικού τιμολόγησης ΦΠΑ στην Κίνα, οι Aisino και Baiwang. Ο κακόβουλος κώδικας του GoldenHelper backdoor βρέθηκε στην έκδοση Baiwang του Golden Tax Invoicing Software αν και εμπλέκεται και η Aisino.
GoldenHelper backdoor δυνατότητες
“Το GoldenHelper malware χρησιμοποιεί εξελιγμένες τεχνικές για να κρύψει την παράδοση, την παρουσία και τη δραστηριότητά του“, εξήγησε η Trustwave.
“Μερικές από τις ενδιαφέρουσες τεχνικές που χρησιμοποιεί το GoldenHelper περιλαμβάνουν τη χρονομέτρηση, το IP-based DGA (Αλγόριθμος δημιουργίας domain), την παράκαμψη UAC και την κλιμάκωση προνομίων κλπ”.
Ένα άλλο χαρακτηριστικό είναι οι προσπάθειες λήψης ενός εκτελέσιμου χρησιμοποιώντας ψεύτικα ονόματα αρχείων με .gif, .jpg, .zip.
Οι ερευνητές διαπίστωσαν, επίσης, ότι σε ορισμένες περιπτώσεις, το λογισμικό Golden Tax μπορεί να παραδοθεί σε εταιρείες ως ένα αυτόνομο σύστημα που παρέχεται από την τράπεζά τους (με το GoldenHelper backdoor ενσωματωμένο στο λογισμικό).
Το τελικό payload του GoldenHelper backdoor είναι ένα taxver.exe binary που γίνεται λήψη και εκτελείται με αυξημένα προνόμια (SYSTEM level) από πολλές τοποθεσίες στα μολυσμένα συστήματα.
Ωστόσο, οι ερευνητές δεν μπόρεσαν να βρουν δείγμα αυτού του payload, ώστε να αναλύσουν τη συμπεριφορά του.
Ενώ η εκστρατεία GoldenHelper δεν είναι πλέον ενεργή, η απειλή που δημιουργείται από αυτό το τελικό payload παραμένει.
Πώς σχετίζεται η Aisino;
Η Trustwave βρήκε πολλές συνδέσεις μεταξύ του GoldenSpy και του GoldenHelper, κατά την ανάλυση των δύο εκστρατειών και διαπίστωσε ότι η Aisino Corporation έπαιζε κεντρικό ρόλο.
Οι πιο σημαντικές σχέσεις μεταξύ των δύο εκστρατειών είναι οι εξής:
- Μια θυγατρική εταιρεία της Aisino δημιουργεί λογισμικό που σχετίζεται με το Golden Tax.
- Το λογισμικό χρησιμοποιεί εξειδικευμένη υποδομή και στοιχεία (πρόγραμμα εγκατάστασης, απεγκατάστασης, ενημέρωσης και κύριο λογισμικό φορολογίας). Τα στοιχεία εγκαθίστανται και απεγκαθίστανται κατόπιν ζήτησης και έγκρισης του χρήστη.
- Το κρυμμένο κακόβουλο λογισμικό εγκαθίσταται παράλληλα με το νόμιμο λογισμικό.
- Το κρυμμένο κακόβουλο λογισμικό χρησιμοποιεί ξεχωριστή command and control υποδομή από αυτή που χρησιμοποιεί το νόμιμο λογισμικό.
- Το κρυμμένο κακόβουλο λογισμικό έχει τη δυνατότητα απομακρυσμένης λήψης και εκτέλεσης κώδικα με αυξημένα προνόμια.
- Το κρυμμένο κακόβουλο λογισμικό χρησιμοποιεί τεχνικές για να κρύψει τη δράση του.
Το διάγραμμα, που ακολουθεί, αποκαλύπτει τις εταιρικές σχέσεις πίσω από τις δύο malware εκστρατείες. Τα πράσινα πλαίσια δείχνουν τη νόμιμη χρήση του λογισμικού, τα πορτοκαλί την Aisino Corporation και τις θυγατρικές της, τα κόκκινα την υποδομή δικτύου του backdoor και τα μπλε το background του κινεζικού Golden Tax Project.
Περισσότερες λεπτομέρειες μπορείτε να βρείτε στην έκθεση της Trustwave για το GoldenHelper malware.
