Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

中国の納税ソフトウェアがジェットストリームアタック

調べてみた。 海外事件

TrustWave社の調査により「GoldenSpy」と呼ばれる新たなマルウェアファミリが発見された様です。困った事に、中国でビジネスを行う企業が、中国の銀行からインストールを求められる納税ソフトウェアからですが。

www.infosecurity-magazine.com

 

元ソース

 

中国でビジネスを行っている組織は、国内の銀行からダウンロードが義務付けられている公式のソフトウェアには、実際にはバックドアマルウェアが含まれている可能性があると警告されています。

Trustwaveは、Aisino CorporationのGolden Tax Departmentが作成したIntelligent Taxソフトウェアをダウンロードすることに同意した後、いくつかのクライアントがGoldenSpyバックドアを無意識のうちにインストールしたことを発見したことを新しいレポートで説明しました。

広告どおりに機能しましたが、ソフトウェアには強力なバックドアが含まれており、Intelligent Taxがアンインストールされても削除できませんでした

(Infosecurity Magazine記事より引用)※機械翻訳

 

キタきつねの所感

Trustwave社の調査レポートが元の様ですが、公式ソフトへのマルウェア脅威の調査結果は衝撃的でした。

 

このソフトは、企業が中国でのビジネスを開始する際に、地元の銀行に地方税を払うためにインストールする事を要求されるIntelligent Taxと呼ばれるソフトウェアパッケージで、Aisino CorporationのGolden Tax Departmentによって開発されたものです。

 

ソフト自体は当然の事ながら、税務ソフトウェアとして普通に機能するのですが、裏でシステムにバックドアを仕掛け、リモートで攻撃者がWindowsコマンド実行や、任意のバイナリ(ランサム含む)をアップロード出来る様になります。バックドアファイルはマルウェアの特性を持つ事からGoldenSpyと名付けられました。

※GoldenSpayとC&Cサーバの通信は、税務ソフトのネットワークではありません。

 

このファイル(GoldenSpyマルウェア)は、アンインストールを困難にする動作をする様です。下記の動作連携を見てジェットストリームアタックを久しぶりに思い出しました。

GoldenSpyは、それ自体の2つの同一バージョンを、どちらも永続的な自動起動サービスとしてインストールしますどちらかが実行を停止すると、対応するものを再生成します。さらに、自身のいずれかの反復の削除を監視するexeprotectorモジュールを利用します。削除すると、新しいバージョンがダウンロードされて実行されます。事実上、この3層保護により、感染したシステムからこのファイルを削除することは非常に困難になります。

(Trustwave記事より引用)※機械翻訳

 

このマルウェアの駆除、どうやって対応するのが正しいのでしょうか。単純にソフトのアンインストールだと・・・

Intelligent Taxソフトウェアのアンインストール機能では、GoldenSpyはアンインストールされません。税ソフトウェアが完全に削除された後でも、GoldenSpyはオープンバックドアとして環境に実行されたままになります。

(Trustwave記事より引用)※機械翻訳

 

当然、削除されない様です。

私の乏しい知見では、安直に端末再インストールしか思いつきませんでした。

 

アンチウィルスソフト等々で初期挙動検知してくれれば、とも思ったのですが、

GoldenSpyは、税ソフトウェアのインストールプロセスが完了してか2時間経過するまでダウンロードおよびインストールされません。最終的にダウンロードしてインストールすると、システムに通知することなくサイレントモードで実行されます。この長い遅延は非常に珍しく、被害者の通知から隠す方法です。

(Trustwave記事より引用)※機械翻訳

 

検知されにくい様に、時間差の攻撃を仕掛けてくる様です。

急募:ニュータイプガンダムパイロット 

 

このマルウェアよくTrustwave(SpiderLabs)は見つけたなと思います。

インストール後にじっとしていて、(セキュリティソフトの挙動チェックを潜り抜けてから)マルウェア本体をダウンロードする・・・相当の攻撃意図をもって仕掛けられた、誤解を恐れずに言えば、国家の支援を受けた高度なハッカーレベルの攻撃と同等な攻撃手法だと思います。

 

現在のGoldenSpyの攻撃キャンペーンは2020年4月から開始された様ですが、過去に遡って分析した所、2016年12月にはGoldenSpyの亜種が見つかっている様です。

税務ソフトウェアを開発しているAisino社は、2016年にChenkuo Network Technology社とビックデータに関わるパートナーシップを発表しています。

このChenkuo Network Technology社は、何故かGoldenSpyにデジタル署名をしている様ですが、両者共に、Trustwaveに対してコメントを返してません。

 

攻撃キャンペーンの範囲、目的、攻撃者は判明していませんが、中国で事業を行っているAisino Intelligent Tax Softwareを使用しているすべての企業は、「影響があるかも知れない」事を理解し、TrustWave社の英語レポート(封じ込め、復旧対策)を参考にすべきかと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 重い税金に苦しむサラリーマンのイラスト

 

更新履歴

  • 2020年6月29日 PM