ГлавнаябезопасностьВ официальном китайском программном обеспечении обнаружен новый бэкдор GoldenHelper

В официальном китайском программном обеспечении обнаружен новый бэкдор GoldenHelper

Бэкдор GoldenHelper

Новый бэкдор с именем Бэкдор GoldenHelperбыл обнаружен его исследователями Trustwave интегрированы в программное обеспечение Золотое налоговое выставление счетов, часть его Золотого налогового проекта Китайское правительство, Это программное обеспечение используется для выставления счетов и уплаты налога на добавленную стоимость (НДС).

В прошлом месяце исследователи Trustwave SpiderLabs обнаружили еще один бэкдор, GoldenSpy, спрятанный в программном обеспечении Интеллектуальный налог, который компании им пришлось устроиться на работу с китайскими банками.

Новый бэкдор GoldenHelper отличается от GoldenSpy, но использует аналогичный метод распространения и также используется для приобретение доступ в сетях международных компаний, работающих в Китай.

Распределительная кампания GoldenHelper вредоносных программ был активным с января 2018 года по июль 2019 года. Распределительная кампания GoldenSpy была запущена в апреле 2020 года.

Бэкдор GoldenHelper

В настоящее время в Китае существует только два официальных поставщика программного обеспечения для выставления счетов по НДС. Айсино и Байванг, Вредоносный код бэкдора GoldenHelper был обнаружен в Baiwang версии Golden Tax Invoicing Software, хотя Aisino также участвует.

GoldenHelper бэкдор возможности

«Вредоносное ПО GoldenHelper использует сложные методы, чтобы скрыть свои традиции, присутствие и активность", - пояснил Trustwave.

Некоторые из интересных методов, используемых GoldenHelper, включают синхронизацию, DGA на основе IP (алгоритм генерации домена), Обход UAC и повышение привилегий и т. д. ».

Другая особенность - попытаться получить исполняемый файл с использованием поддельных имен файлов .gif, .jpg, .zip.

Исследователи также обнаружили, что в некоторых случаях программное обеспечение Golden Tax может быть доставлено компании как автономная система, предоставляемая банк (с бэкдором GoldenHelper, встроенным в программное обеспечение).

Это Конечная полезная нагрузка бэкдора GoldenHelper один taxver.exe бинарный который загружается и выполняется с повышенными привилегиями (уровень SYSTEM) со многих сайтов в зараженном системы.

Однако исследователи не смогли найти образец этой полезной нагрузки для анализа ее поведения.

Хотя кампания GoldenHelper больше не активен, угроза, создаваемая этой последней полезной нагрузкой, остается.

Какое отношение имеет Айсино?

Trustwave обнаружил много связей между GoldenSpy и GoldenHelper во время анализа двух кампаний и обнаружил, что корпорация Aisino играет центральную роль.

Наиболее важные отношения между двумя кампаниями:

  • Дочерняя компания Aisino создает программное обеспечение, связанное с Golden Tax.
  • Программное обеспечение использует специализированную инфраструктуру и компоненты (установщик, деинсталлятор, обновление и основное налоговое программное обеспечение). Компоненты устанавливаются и удаляются по запросу и одобрению пользователя.
  •  Скрытое вредоносное ПО устанавливается параллельно с легальным программным обеспечением.
  • Скрытое вредоносное ПО использует инфраструктуру управления и контроля, отличную от используемой законным программным обеспечением.
  • Скрытое вредоносное ПО имеет возможность удаленно загружать и выполнять код с повышенными привилегиями.
  • Скрытое вредоносное ПО использует методы, чтобы скрыть свои действия.

На приведенной ниже диаграмме показано партнерство двух вредоносных кампаний. Зеленые прямоугольники указывают на законное использование программного обеспечения, оранжевые прямоугольники - корпорация Aisino и ее дочерние компании, красные прямоугольники - сетевая инфраструктура бэкдора, а синие прямоугольники - на фоне китайского проекта «Золотой налог».

Бэкдор GoldenHelper

Более подробную информацию можно найти на Отчет Trustwave о вредоносном ПО GoldenHelper.

Цифровая Крепостьhttps://www.secnews.gr
Осуществляйте свои мечты и живите!
spot_img

ЖИВЫЕ НОВОСТИ