Chiến dịch đe dọa dai dẳng nâng cao (APT) nhằm đánh cắp thông tin nhạy cảm của các tập đoàn kinh doanh tại Trung Quốc.
Phần mềm độc hại GoldenSpy đã được Trustwave SpiderLabs quan sát thấy trong một hoạt động truy tìm mối đe dọa thay mặt cho ứng dụng khách dựa trên Công nghệ của Vương quốc Anh.
Phần mềm độc hại GoldenSpy ẩn trong phần mềm thuế
Trustwave quan sát thấy rằng kể từ tháng 2020 năm XNUMX, cửa hậu GoldenSpy được phát hiện được nhúng trong bộ phần mềm Aisino Intelligent Tax.
Bộ phần mềm thuế là bắt buộc đối với một công ty hoạt động ở Trung Quốc để tiến hành kinh doanh, bộ phần mềm này sẽ cho phép thanh toán các loại thuế địa phương.
Phần mềm “Thuế thông minh” như mong đợi xử lý các hoạt động thuế, nhưng ở chế độ nền, sau 2 giờ nó tải xuống và thực thi một tệp có tên svminstaller.exe, tệp này tải xuống hai tệp thực thi khác có tên svm.exe và svmm.exe.
Tập tin được tải xuống từ URL download.ningzhidata [.] Com, Svm.exe (GoldenSpy) chịu trách nhiệm thu thập thông tin và gửi dữ liệu đến www.ningzhidata [.] Com qua cổng 9006.
Cả hai tệp svm và svmm đều được cài đặt dưới dạng dịch vụ tự động khởi động mà chúng hoạt động với đặc quyền cấp Hệ thống nếu quá trình bị hủy, nó sẽ tự động khởi động lại.
“Tại thời điểm này, chúng tôi chưa thể xác định mức độ phổ biến của phần mềm này. Chúng tôi hiện biết về một nhà cung cấp công nghệ / phần mềm được nhắm mục tiêu và một sự cố tương tự xảy ra tại một tổ chức tài chính lớn, nhưng điều này có thể được tận dụng để chống lại vô số công ty hoạt động và nộp thuế ở Trung Quốc hoặc có thể chỉ nhắm vào một số tổ chức được chọn có quyền thông tin, ”đọc báo cáo.
Các công ty đã cài đặt phần mềm thuế có rủi ro cao, bởi những kẻ tấn công mạng có thể xâm nhập vào mạng của họ, dẫn đến vi phạm và mất thông tin nhạy cảm.
Truyền thông mạng
GoldenSpy (svm.exe) giao tiếp với ningzhidata [.] Com để gửi dữ liệu và nhận lệnh, các nhà nghiên cứu quan sát thấy rằng “miền và các miền phụ của nó đã phân giải thành một số địa chỉ IP, tuy nhiên, dựa trên chứng chỉ của chúng, hầu hết là một phần của CDN qcloud và dường như chỉ lưu trữ bản tải xuống. ”
Sau đây là các cổng được sử dụng trong giao tiếp
- Cổng 9005, 9006: Cổng được sử dụng cho lưu lượng mạng svm.exe.
- Cổng 9002: Được sử dụng bởi dịch vụ cập nhật để yêu cầu liên kết tải xuống svm.exe.
- Cổng 8090: Trong khi chúng tôi không quan sát điều này trực tiếp trong phân tích của mình, có những chỉ báo trên các trang web quét công khai rằng svm được tải xuống qua cổng này trong một số trường hợp.
- Cổng 33666: WebSocket do phần mềm Golden Tax thiết lập khi cài đặt
Trustwave SpiderLabs đã xuất bản một báo cáo hoàn chỉnh cùng với IOC, các tổ chức hoạt động với Trung Quốc được khuyến nghị điều tra các kết nối mạng.
Bạn có thể theo dõi chúng tôi trên Linkedin, Twitter, Facebook cho an ninh mạng hàng ngày và cập nhật tin tức hack.
Cũng đọc
Cách phát hiện phần mềm độc hại bị che khuất trên máy chủ của bạn
