中国で地方税を支払うために使用するソフトウェアキットで見つかったGoldenSpyマルウェア

中国の銀行は、ソフトウェアベンダーと主要な金融機関の少なくとも2つの西側の企業に、システムにマルウェアを仕掛けた税務ソフトウェアを導入するように強いました。それによると、これらの2つの会社は最近中国にオフィスを設立しました。

サイバーセキュリティ会社はさらに、クライアントとの話し合いの中で、中国の銀行に必要な税務ソフトウェアの一部である「マルウェア」を明らかにしたと説明しました。このマルウェアは、地方税を支払うためにAisino CorporationのGolden Tax Departmentによって作成されたソフトウェアキットであることが判明しました。

セキュリティ会社は、このソフトウェアキットにバックドア-GoldenSpyが含まれていると主張しました。このマルウェアは、システムレベルのアクセスで実行されます。これにより、攻撃者はターゲットデバイスをリモートコントロールし、Windowsコマンド、またはその中の重要な他のアプリケーションを実行できます。

現在、多くのタイプのソフトウェアには、サービスのデバッグに必要なリモートアクセス機能があります。ただし、この場合、Trustwaveとして報告されているように、これらの機能は他では合法的な使用法を発見しておらず、マルウェアとして最も一般的に使用されています。

マルウェアには、自動インストールで実行される2つのバージョンがあると報告されています。さらに、2つのインストールのいずれかを排除するために追跡するexprotectorがあります。削除後に新しいバージョンをインストールします。そして、そこに、これらのファイルを削除することは困難です。マルウェアは、ソフトウェアキットをアンインストールした後でも、オープンバックドアとして実行されたままです。

同社によると、GoldenSpyのその他の疑わしいアクティビティは、税務ソフトウェアのインストールプロセスが2時間経過した後にデバイスに侵入することで、これは非常に珍しいことです。他のRATと同様に、マルウェアはそのエントリの通知として兆候や症状を示します。これに加えて、GoldenSpyはドメインningzhidata.comに接続され、マルウェアのその他の亜種をホストし、同様の動作をします。

セキュリティ会社は、このマルウェアがどのように侵入するかを判断できず、中国政府のハッカーがこのソフトウェアを作成したのか、それとも一部のレッドドアバンキングの従業員によって組み込まれたのか、またはAisino Corporationによって作成されたのかを確認できませんでした。また、中国の諜報機関が銀行にマルウェアを公式ソフトウェアに追加するよう圧力をかけるかどうかもまだ確認されていません。