Среда, 27 января, 09:48
дома безопасность В официальном китайском программном обеспечении обнаружен новый бэкдор GoldenHelper

В официальном китайском программном обеспечении обнаружен новый бэкдор GoldenHelper

Новый бэкдор с именем Бэкдор GoldenHelperбыл обнаружен его исследователями Trustwave интегрированы в программное обеспечение Золотое налоговое выставление счетов, часть его Золотого налогового проекта Китайское правительство, Это программное обеспечение используется для выставления счетов и уплаты налога на добавленную стоимость (НДС).

В прошлом месяце исследователи Trustwave SpiderLabs обнаружили еще один бэкдор, GoldenSpy, спрятанный в программном обеспечении Интеллектуальный налог, который компании им пришлось устроиться на работу с китайскими банками.

Новый бэкдор GoldenHelper отличается от GoldenSpy, но использует аналогичный метод распространения и также используется для приобретение доступ в сетях международных компаний, работающих в Китай.

Распределительная кампания GoldenHelper вредоносных программ был активным с января 2018 года по июль 2019 года. Распределительная кампания GoldenSpy была запущена в апреле 2020 года.

В настоящее время в Китае существует только два официальных поставщика программного обеспечения для выставления счетов по НДС. Айсино и Байванг, Вредоносный код бэкдора GoldenHelper был обнаружен в Baiwang версии Golden Tax Invoicing Software, хотя Aisino также участвует.

GoldenHelper бэкдор возможности

«Вредоносное ПО GoldenHelper использует сложные методы, чтобы скрыть свои традиции, присутствие и активность", - пояснил Trustwave.

Некоторые из интересных методов, используемых GoldenHelper, включают синхронизацию, DGA на основе IP (алгоритм генерации домена), Обход UAC и повышение привилегий и т. д. ».

Другая особенность - попытаться получить исполняемый файл с использованием поддельных имен файлов .gif, .jpg, .zip.

Исследователи также обнаружили, что в некоторых случаях программное обеспечение Golden Tax может быть доставлено компании как автономная система, предоставляемая банк (с бэкдором GoldenHelper, встроенным в программное обеспечение).

Это Конечная полезная нагрузка бэкдора GoldenHelper один taxver.exe бинарный который загружается и выполняется с повышенными привилегиями (уровень SYSTEM) со многих сайтов в зараженном системы.

Однако исследователи не смогли найти образец этой полезной нагрузки для анализа ее поведения.

Хотя кампания GoldenHelper больше не активен, угроза, создаваемая этой последней полезной нагрузкой, остается.

Какое отношение имеет Айсино?

Trustwave обнаружил много связей между GoldenSpy и GoldenHelper во время анализа двух кампаний и обнаружил, что корпорация Aisino играет центральную роль.

Наиболее важные отношения между двумя кампаниями:

  • Дочерняя компания Aisino создает программное обеспечение, связанное с Golden Tax.
  • Программное обеспечение использует специализированную инфраструктуру и компоненты (установщик, деинсталлятор, обновление и основное налоговое программное обеспечение). Компоненты устанавливаются и удаляются по запросу и одобрению пользователя.
  •  Скрытое вредоносное ПО устанавливается параллельно с легальным программным обеспечением.
  • Скрытое вредоносное ПО использует инфраструктуру управления и контроля, отличную от используемой законным программным обеспечением.
  • Скрытое вредоносное ПО имеет возможность удаленно загружать и выполнять код с повышенными привилегиями.
  • Скрытое вредоносное ПО использует методы, чтобы скрыть свои действия.

На приведенной ниже диаграмме показано партнерство двух вредоносных кампаний. Зеленые прямоугольники указывают на законное использование программного обеспечения, оранжевые прямоугольники - корпорация Aisino и ее дочерние компании, красные прямоугольники - сетевая инфраструктура бэкдора, а синие прямоугольники - на фоне китайского проекта «Золотой налог».

Более подробную информацию можно найти на Отчет Trustwave о вредоносном ПО GoldenHelper.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Цифровая Крепостьhttps://www.secnews.gr
Осуществляйте свои мечты и живите!

ЖИВЫЕ НОВОСТИ

Отключение Интернета затронуло Verizon, Zoom, Slack и Gmail

Жители Восточного побережья во вторник столкнулись с проблемами подключения к базовым услугам, поскольку они пострадали из-за отключения Интернета.

Apple: немедленно обновите свой iPhone и iPad!

Apple призывает всех пользователей iPhone и iPad как можно скорее обновить свои операционные системы, чтобы ...
00: 02: 19

Джо Байден: Заменяет федеральные автомобили на новые электрические

https://www.youtube.com/watch?v=rOEUvWv2oTs Ο Πρόεδρος Joe Biden ανακοίνωσε την απόφασή του να αντικαταστήσει ολόκληρο τον ομοσπονδιακό στόλο οχημάτων με...
00: 02: 33

Меланома: вакцина защищает от рецидивов кожи на 4 года!

Меланома - самая опасная форма рака кожи, от которой страдает большой процент людей во всем мире. Теперь ученые в США переводят дыхание ...

Facebook: номера телефонов его пользователей продаются через бота Telegram

Материнская плата показала, что кто-то получил доступ к базе данных, содержащей номера телефонов пользователей Facebook, и теперь продает эти ...

Как заставить Outlook проверять орфографию в электронных письмах

Если правописание не является вашим «козырем», деловые письма вас действительно беспокоят. Никто не хочет отправлять электронные письма с ошибками, потому что ...

Голанг: Google исправляет серьезную уязвимость Windows RCE

В этом месяце инженеры Google устранили серьезную уязвимость удаленного выполнения кода (RCE) в Go (Golang).

Производство электроэнергии в Европе: ВИЭ превзошли ископаемое топливо

Европа постепенно сокращает свою зависимость от ископаемого топлива. Отчет, опубликованный Ember и Agora ...

TikTok: исправлена ​​уязвимость, позволяющая украсть телефонные номера

TikTok запустил программу вознаграждения за ошибки после обнаружения различных уязвимостей в своем приложении. Кажется, это усилие ...

MacOS Big Sur 11.2 RC 2 теперь доступна как общедоступная версия

Вторая «релиз-кандидат» версии macOS Big Sur 11.2 теперь доступна разработчикам и пользователям бета-версии. Это происходит после ...