Il malware "GoldenSpy" prende di mira le aziende che operano in Cina

Il malware "GoldenSpy" prende di mira le aziende che operano in Cina

Un malware identificato di recente viene distribuito incorporato nel software di pagamento fiscale che alcune aziende che operano in Cina sono tenute ad installare.

Soprannominato GoldenSpy, il malware è stato osservato come parte di una campagna presumibilmente iniziata nell'aprile 2020, ma alcuni dei campioni identificati suggeriscono che la minaccia esiste da almeno dicembre 2016.

Una delle organizzazioni compromesse, un fornitore di tecnologia globale che conduce affari governativi negli Stati Uniti, in Australia e nel Regno Unito, e che ha recentemente aperto uffici in Cina, è stato infettato dopo aver installato "Intelligent Tax", un software del dipartimento della Golden Tax di Aisino Corporation, che una banca locale ha richiesto per pagare le tasse locali.

Sebbene funzionasse come pubblicizzato, è stato scoperto che il software installava una backdoor nascosta per offrire agli operatori remoti la possibilità di eseguire comandi di Windows o caricare ed eseguire file.

"Fondamentalmente, era una porta spalancata nella rete con privilegi a livello di SISTEMA e collegata a un server di comando e controllo completamente separato dall'infrastruttura di rete del software fiscale", spiega Brian Hussey, Vice President di Cyber ​​Threat Detection & Response.

Si è scoperto che il malware era firmato digitalmente da una società chiamata Chenkuo Network Technology e funzionava in modo completamente indipendente dal software fiscale. Pertanto, anche se il software Intelligent Tax viene disinstallato, GoldenSpy rimane attivo sul sistema.

Sulle macchine compromesse, GoldenSpy viene scaricato ed eseguito due ore dopo l'installazione del software fiscale. Il malware è stato osservato installando due versioni identiche di se stesso, come servizi di avvio automatico persistenti, e utilizza un modulo exeprotector per garantire la persistenza.

Il malware si collega alla sua infrastruttura su ningzhidata [.] Com , un dominio che ospita anche altre varianti di GoldenSpy e randomizza i tempi dei beacon dopo i primi tre tentativi di connessione al suo server di comando e controllo (C&C).

“GoldenSpy opera con privilegi a livello di SISTEMA, rendendolo estremamente pericoloso e in grado di eseguire qualsiasi software sul sistema. Ciò include malware aggiuntivo o strumenti amministrativi di Windows per condurre ricognizioni, creare nuovi utenti, aumentare i privilegi, ecc. ”Note Trustwave.

Ciò che la società di sicurezza non è stata in grado di determinare è stata la portata completa della campagna GoldenSpy e se l'organizzazione è stata presa di mira a causa del loro accesso a dati vitali o di quante altre società che operano in Cina sono state vittime. Tuttavia, un'attività simile è stata identificata in un istituto finanziario globale.

I campioni GoldenSpy più vecchi risalgono a due mesi dopo che Chenkuo Technology ha annunciato una partnership con Aisino nell'ottobre 2016 per "la cooperazione sui big data". Tuttavia, non è chiaro se le due organizzazioni siano disposte a partecipare agli attacchi.

“GoldenSpy certamente potrebbe consentire l'accesso e la raccolta di big data. Trustwave SpiderLabs non è al corrente se GoldenSpy fosse attivo in natura dal 2016, la nostra prima identificazione dell'utilizzo è stata aprile 2020. Per essere chiari, non conosciamo ancora l'ambito, lo scopo o gli attori dietro la minaccia”, afferma Hussey.

Hussey raccomanda inoltre alle organizzazioni che operano in Cina o che utilizzano il software Aisino Intelligent Tax di considerare l'incidente come una potenziale minaccia e tentare di identificare un possibile compromesso.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.