Loading...
Blogs & Stories

SpiderLabs-Blog

Mit mehr als einer halben Million Lesern pro Jahr ist dies die Anlaufstelle der Sicherheitsgemeinschaft für technische Informationen zu den neuesten Bedrohungen, Informationen zu kritischen Sicherheitslücken und aktuellen Forschungsergebnissen.

Das Golden Tax Department und die Entstehung der GoldenSpy-Malware

Im April 2020 beauftragte ein Kunde das Trustwave SpiderLabs Threat Fusion Team, ein Proactive Threat Hunting durchzuführen. Bei diesem Kunden handelt es sich um einen globalen Technologieanbieter mit bedeutenden Regierungsgeschäften in den USA, Australien sowie Großbritannien, der vor kurzem Niederlassungen in China eröffnet hat. Unser Threat Hunting erzielte mehrere zentrale Erkenntnisse, die für die langfristige Sicherheit des Netzwerks dieser Niederlassungen wichtig sind. Eine dieser Erkenntnisse stach besonders hervor, da sie sich potenziell auch auf unzählige andere Unternehmen auswirken könnte, die derzeit in China tätig sind. Die vollständige Analyse unserer Ergebnisse steht im GoldenSpy-Report zum Download zur Verfügung.


Research Report

Das Golden Tax Department und die Entstehung von GoldenSpy-Malware

Die Trustwave SpiderLabs Threat Hunting-Experten untersuchen eine Malware-Kampagne, die auf in China tätige Unternehmen abzielt. Der dazugehörige Report informiert über eine neue Bedrohung und veranschaulicht spezifische Hunting-, Untersuchungs- und Wiederherstellungsmethodiken. Mit diesen lässt sich sicherstellen, dass Ihre Umgebung sauber ist.

Jetzt downloaden!


Details der Untersuchung

Wir identifizierten eine ausführbare Datei, die ein höchst ungewöhnliches Verhalten zeigte und Systeminformationen an eine verdächtige chinesische Domain sendete. Gespräche mit unserem Kunden ergaben, dass dies Teil der erforderlichen Steuersoftware seiner Bank war. Er informierte uns, dass seine örtliche chinesische Bank bei der Eröffnung von Geschäften in China die Installation eines Softwarepaketes mit der Bezeichnung „Intelligent Tax“ verlangte. Dieses wurde vom Golden Tax Department der Aisino Corporation für die Zahlung lokaler Steuern entwickelt.

Als wir unsere Untersuchungen der Steuersoftware fortsetzten, stellten wir fest, dass sie wie angekündigt funktionierte, aber auch eine versteckte Backdoor im System installierte, die es einem Angreifer ermöglichte, remote Windows-Befehle auszuführen oder beliebige Binärdateien hochzuladen und auszuführen (einschließlich Lösegeld, Trojaner oder anderer Malware). Grundsätzlich handelte es sich um ein Einfallstor in das Netzwerk mit Berechtigungen auf Systemebene und eine Verbindung zu einem Befehls- und Kontrollserver, der völlig von der Netzwerkinfrastruktur der Steuersoftware getrennt ist. Auf der Grundlage dieser und mehrerer anderer Faktoren (nachfolgend beschrieben) haben wir nachgewiesen, dass diese Datei genügend Merkmale aufweist, um als Malware eingestuft zu werden. Inzwischen haben wir die Dateien rekonstruiert und die Familie GoldenSpy genannt.

GoldenSpy wurde von einer Firma namens Chenkuo Network Technology digital signiert. Die Signatur verwendete sowohl für das Produkt als auch für das Beschreibungsfeld den identischen Text 认证软件版本升级服务, was übersetzt „zertifizierter Software-Versions-Upgrade-Service“ bedeutet. Der Name mag zwar nach legitimer Software klingen, doch in diesem Fall verfügt die Steuersoftware bereits über einen eigenen Update-Dienst, der völlig unabhängig von GoldenSpy funktioniert.

Es gab noch einige andere ungewöhnliche Aspekte dieser Datei, darunter:

  • GoldenSpy installiert zwei identische Versionen von sich selbst, beide als persistente Autostart-Dienste. Läuft eine der beiden nicht mehr, reaktiviert sein Pendant sie wieder. Darüber hinaus verwendet GoldenSpy ein Exe-Protector-Modul, das die Löschung einer seiner beiden Iterationen überwacht. Tritt dieser Fall ein, wird eine neue Version heruntergeladen und ausgeführt. Dieser dreischichtige Schutz macht es äußerst schwierig, die Datei aus einem infizierten System zu entfernen.
  • Die Deinstallationsfunktion der Intelligent Tax Software deinstalliert GoldenSpy nicht. Selbst nachdem die Steuersoftware vollständig entfernt wurde, läuft GoldenSpy als offene Hintertür in der Umgebung.
  • GoldenSpy wird erst zwei Stunden nach der vollständigen Installation der Steuersoftware heruntergeladen und installiert. Der Download und die Installation laufen im Hintergrund und ohne Benachrichtigung des Systems ab. Diese lange Verzögerung ist sehr ungewöhnlich und dient dazu, den Prozess vor dem Opfer zu verheimlichen.
  • GoldenSpy kontaktiert nicht die Netzwerkinfrastruktur der Steuersoftware (i-xinnuo[.]com), sondern wendet sich an ningzhidata[.]com, eine Domäne, von der bekannt ist, dass sie andere Varianten der GoldenSpy-Malware hostet. Nach den ersten drei Versuchen, Kontakt mit ihrem Befehls- und Kontrollserver aufzunehmen, werden Beacon-Zeiten randomisiert. Dies ist eine bekannte Methode, um Netzwerksicherheitstechnologien zu umgehen, die darauf ausgelegt sind, Beaconing-Malware zu identifizieren.
  • GoldenSpy arbeitet mit Berechtigungen auf Systemebene. Die Malware lässt sich als hochgefährlich einstufen, da sie jede beliebige Software auf dem System ausführen kann. Dazu gehören zusätzliche Malware oder Windows-Administrationstools zur Durchführung von Untersuchungen, zum Anlegen neuer Benutzer, zur Privilegienerweiterung etc.

Diese Faktoren haben uns zu dem Schluss geführt, dass GoldenSpy eine gut versteckte und mächtige Backdoor ist, die den vollständigen Remotebefehl und die Kontrolle des betroffenen Systems einem unbekannten Angreifer überlässt.

Das folgende Diagramm zeigt die Netzwerkkommunikationsmuster der GoldenSpy-Installation über die Intelligent Tax Software.

Svmdiagram

Die Tragweite dieser Kampagne ist derzeit noch nicht bekannt. Bei unserem Kunden war GoldenSpy heimlich in die Aisino Intelligent Tax Software eingebettet. Bislang konnten wir nicht feststellen, ob dies zielgerichtet aufgrund seines Zugangs zu wichtigen Daten geschah oder ob die Kampagne Auswirkungen auf jedes Unternehmen hat, das in China Geschäfte macht. Wir haben ähnliche Aktivitäten bei einem globalen Finanzinstitut festgestellt, verfügen aber bisher noch nicht über weitere Kampagnen-Ergebnisse.

Die aktuelle GoldenSpy-Kampagne begann im April 2020, doch unsere Cyber Threat Intel- Analysten haben Variationen von GoldenSpy entdeckt, die bis Dezember 2016 zurückgehen. Interessant ist, dass die Website von Chenkuo Technology im Oktober 2016 eine Partnerschaft mit Aisino ankündigte, zwei Monate vor dem ursprünglichen Auftauchen der GoldenSpy-Malware-Familie. Ihre Partnerschaft dient der „Big Data-Kooperation“. GoldenSpy könnte sicherlich den Zugriff auf große Datenmengen und deren Sammlung ermöglichen. Da wir die erste Nutzung im April 2020 identifiziert haben, weiß Trustwave SpiderLabs derzeit noch nicht, ob GoldenSpy seit 2016 „in the wild“ aktiv war. Aktuell kennen wir noch nicht den Umfang, den Zweck oder die Akteure hinter der Bedrohung. Wir wissen nicht, ob Chenkuo Technology oder Aisino aktive und/oder bewusste Teilnehmer sind, und kennen darüber hinaus nicht das genaue Ausmaß ihrer Beteilung.

Partnership

Empfehlungen

Wir denken, dass jedes Unternehmen, das in China tätig ist oder die Aisino Intelligent Tax Software verwendet, diesen Vorfall als potenzielle Bedrohung betrachten und Gegenmaßnahmen zum Threat Hunting sowie zur Eindämmung und Wiederherstellung ergreifen sollte, wie in unserem technischen Bericht (Download-Link siehe unten) aufgezeigt wird.

Trustwave SpiderLabs untersucht weiterhin diese Malware und sucht aktiv nach mehr Informationen über die GoldenSpy-Kampagne. Verfügen Sie über Details zu dieser Aktivität oder vermuten Sie, Opfer eine solchen Angriffs geworden zu sein, wenden Sie sich bitte unter GoldenSpy@trustwave.com an das Trustwave SpiderLabs Threat Fusion Team.

Wir stehen für Beratung, Informationsaustausch oder für Threat Hunting/forensische Ermittlungsdienste zur Verfügung.


Technischer GoldenSpy-Report

Trustwave hat einen detaillierten technischen Report über GoldenSpy erstellt, der Folgendes enthält:

  • Vollständige Angaben zum Vorfall, inklusive Netzwerk- und Filesystem-Indicators of Compromise (IOCs)
  • Analyseberichte zum Reverse Engineering der Malware
  • Historische Netzwerk-IOCs und bekannte GoldenSpy-Varianten
  • GoldenSpy Threat Hunting-Empfehlungen, einschließlich einer benutzerdefinierten YARA-Signatur zur Identifizierung unbekannter GoldenSpy-Varianten
  • Wiederherstellungsempfehlungen

Jetzt downloaden!


Die Aisino Corporation und Nanjing Chenkuo Network Technology wurden kontaktiert und im Rahmen des Offenlegungsprozesses für Schwachstellen von Trustwave über diese Ergebnisse informiert. Zum Zeitpunkt der Veröffentlichung dieses Reports lagen von beiden Unternehmen keine Antworten vor.

Der Autor Brian Hussey ist Vizepräsident des Bereichs Cyber Threat Detection & Response bei Trustwave. Er leitet die SpiderLabs Threat Fusion und die Global Threat Operations Teams. Zu seinem Verantwortungsbereich gehören die Trustwave-Dienste Managed Detection & Response (MDR), Managed Detection (MD), Threat Hunting, Intel und Investigation.

Recent SpiderLabs Blog Posts