サマリー:
Trustwaveは、中国での事業遂行時に導入を義務付けられる税務インボイス用ソフトウェアで展開される、重大な悪意ある活動を発見しました。TrustwaveがGoldenSpyと名付けたこの活動は、ソフトウェアパッケージに埋め込まれたバックドアであり、任意のコード実行によって、被害者のシステムを遠隔から完全にコマンドアンドコントロールできるようにします。
GoldenSpyが公表されると、このバックドアを操る者たちは、感染させたシステムからGoldenSpyを除去しようと慌ててアンインストーラーをプッシュ配信しました。このアンインストーラーはアップデーターモジュールからドロップされ、GoldenSpyを削除し、最後に自身を削除して痕跡を消し去ります。それから間もなく、別のアンインストーラーが発行されました。これは、感染したシステムを支援するためにTrustwaveが公開したYARAルールの回避を明確に意図するものでした。
Trustwaveは、GoldenSpyの影響を受けた組織を支援する自社の活動が、攻撃者に逐一観察されていることを理解し、しばらく時間をおきつつ静かに自社のスレットハンティングで追跡を続けました。その結果、攻撃者が継続的に新たなGoldenSpyアンインストーラーをプッシュ配信していることが判明しました。これまでに5種類の変異形、合計24種のアンインストーラーファイルが見つかりました。
Trustwaveの観察によると、アンインストーラーの中には公開リポジトリにアップロードされたものがあり、これが検知率の上昇につながりました。しかし本稿では、公開リポジトリで発見されていないアンインストーラーもすべて報告します。
分析:
すべての変異形はまったく同じ挙動をしますが、セキュリティテクノロジーによる検知を回避するために使用する実行フロー、文字列の難読化、サイズに違いがあります。挙動に関する詳しい分析は、GoldenSpy第2章をご覧ください。
- svm, svmmのサービスを停止
- svm,svmm のプロセスを停止
- svm,svmm のモジュールをアンインストール
- SVMがインストールされたフォルダをログを含めて削除
- アンインストーラーを削除(自己削除)
- 体的には「ZhuDongFangYu.exe」プロセス(中国を拠点とするアンチウイルスソフトウェア会社、奇虎360のアクティブ防御モジュール)を確認
実行フロー:
トラフィックフロー:
変異形3以降では、GoldenSpyアンインストーラーが自身の痕跡を消した後、自己削除をする前に、アクティビティ追跡のために一意のIDをningzhidata[.]comに送信します。
GoldenSpyアンインストーラー開発の黒幕は?
Trustwaveが変異形5のファイルのリバースエンジニアリングを行ったところ、前出のステージ3のビーコンにIP 39[.]98[.]110[.]234が使用されていることが判明しました。そしてトラフィックについても同じことをしています。
Trustwaveは上のIPを調査したところ、このIPは ‘Ningbo Digital Technology Co., Ltd’ のhxxp[://]www[.]nbdigit[.]com/ に辿り着きました。
以下の説明にあるように、同社はプロフェッショナル向けのソフトウェアソリューションとテクニカルサポートを提供する企業です。
同社はアクティブなウェブサイトで2つのダウンロードファイルを提供しています。「QdfTools」は実際には「GoldenSpyアンインストーラー」なので、名称に関連はありません。「iclient」は「GoldenSpyドロッパー」で、TrustwaveがGoldenSpyテクニカルレポートの中でsvmインストーラーと特定したものです。
変異形5では、GoldenSpyアンインストーラーが222[.]186[.]130[.]200:9006から「QdfTools.exe」の名称でダウンロードされました。このアンインストーラーの製品説明は「エンタープライズサービスの環境検出およびクリーニング」となっています。
こうした調査結果を踏まえて、Trustwaveは、Ningbo Digital Technology Co., Ltdが「GoldenSpyアンインストーラー」の開発に関与し、ningzhidata[.]comがCDNサーバからサービスを提供していると指摘することができます。
TrustwaveのGoldenSpy YARAルールは「iclient.exe」の検知に成功しました。
トラフィックの比較:
|
Variant |
Updater URL |
Uninstaller download URL |
|
1 |
hxxp[://]www[.]ningzhidata[.]com:9006 |
223[.]112[.]21[.]2:8090 |
|
2 |
hxxp[://]www[.]ningzhidata[.]com:9006 |
218[.]94[.]149[.]58:8090 |
|
3 |
hxxp[://]www[.]ningzhidata[.]com:9006 |
120[.]53[.]238[.]96:8090 |
|
4 |
hxxp[://]www[.]ningzhidata[.]com:9006 |
120[.]53[.]238[.]96:8090 |
|
5 |
hxxp[://]www[.]ningzhidata[.]com:9006 |
222[.]186[.]130[.]200:9006 |
GoldenSpyアンインストーラー変異形の侵害インジケーター:
Binaries:
|
FileName |
FileSize |
TimeStamp GMT |
MD5 |
|
AWX.exe |
20 kB |
2020:06:28 16:15:19+00:00 |
735ac19b261dc66d5850bea21f3d54fe |
|
BWXT.exe |
25 kB |
2020:06:29 10:38:38+00:00 |
f2a7363cf43b5900bb872b0d4c627a48 |
|
yund.exe |
23 kB |
2020:06:30 03:47:50+00:00 |
f52cc72959e7ed51c75d0b7f6b8611c0 |
|
yund.exe |
25 kB |
2020:07:01 12:03:45+00:00 |
08f803140ee607a12b15dca97df5864f |
|
AWX.exe |
26 kB |
2020:07:01 15:52:46+00:00 |
573adb1569a08472094f0cfbb6264360 |
|
AWX.exe |
26 kB |
2020:07:02 01:18:11+00:00 |
429a1c5756efaab8af3bcee37cccc31f |
|
ac9253 |
76 kB |
2020:07:05 04:34:37+00:00 |
ddd85c9c8ec325bc2accce4365cb40de |
|
AWX.exe |
84 kB |
2020:07:05 10:11:57+00:00 |
eb98b268164e405ba761eee87565d936 |
|
dfed |
80 kB |
2020:07:05 14:09:20+00:00 |
cc37004f5a1903523657810edb45272e |
|
7b15 |
76 kB |
2020:07:06 17:21:10+00:00 |
72cd43dc5ad0e55f6d26998ac62645e0 |
|
asd.exe |
88 kB |
2020:07:07 04:21:10+00:00 |
568042d040ed7fbbb802d847ef614a4d |
|
d29f78 |
84 kB |
2020:07:08 08:10:03+00:00 |
ed9ec3aec2e8aac13e5d3971f0d56d89 |
|
a9a61 |
84 kB |
2020:07:08 10:00:00+00:00 |
a07ebcc316c49c6bbdf0a8d91bf4c546 |
|
953ce |
81 kB |
2020:07:08 10:37:33+00:00 |
c8342bbfadc6fb78ea00480e3f8d66e8 |
|
asd.exe |
84 kB |
2020:07:08 10:37:33+00:00 |
a4e39f608731d31fbcc17d98a3ec8508 |
|
iclient.exe |
624 kB |
2020:07:08 11:01:15+00:00 |
ab43e4815f1f6cf6d4ef1f7a5334d1ac |
|
asd.exe |
88 kB |
2020:07:08 14:05:47+00:00 |
ba7cce6da078c2825b05ee305773edb6 |
|
63163 |
88 kB |
2020:07:09 01:19:07+00:00 |
1484a597aee4850fcf13faac8f382a5c |
|
82fb179 |
88 kB |
2020:07:09 01:46:52+00:00 |
57af01112f6e277c69150f6d5fba51a9 |
|
envClean.exe |
80 kB |
2020:07:10 01:25:06+00:00 |
89e0b5e36a384eba8fb269b1da587f09 |
|
envClean.exe |
80 kB |
2020:07:10 01:35:08+00:00 |
aa3bc5d04e4daaa641dad4a16dba3df9 |
|
truck.exe |
72 kB |
2020:07:13 13:41:44+00:00 |
7fed28a7623fe421a732d538e87189f4 |
|
TrueQdf.exe |
80 kB |
2020:07:22 11:41:03+00:00 |
037fa9c57f9f9c62f12927fe44761408 |
|
QdfTools.exe |
84 kB |
2020:07:23 05:45:07+00:00 |
98818a0b268419a1ea652dd95d9437e1 |
|
QdfTools.exe |
84 kB |
2020:07:25 04:23:05+00:00 |
3500ee24b14f7c203a360442b680a1d7 |
Network:
|
URL's & IP's |
|
hxxp[://]www[.]ningzhidata[.]com:9006 |
|
hxxp://222[.]186[.]130[.]200:9006/download/ |
|
hxxp://223[.]112[.]21[.]2:8090/download/ |
|
hxxp://218[.]94[.]149[.]58:8090/download/ |
|
hxxp://120[.]53[.]238[.]96:8090/download/ |
|
hxxp://39[.]98[.]110[.]234:8111/download/ |
|
223[.]112[.]21[.]2:8090 |
|
218[.]94[.]149[.]58:8090 |
|
120[.]53[.]238[.]96:8090 |
|
222[.]186[.]130[.]200:9006 |
|
39[.]98[.]110[.]234:8111 |
|
hxxp[://]www[.]nbdigit[.]com/download/QdfTools[.]exe |
|
hxxp[://]www[.]nbdigit[.]com/download/iclient[.]exe |
ATT&CK Mappings:
|
Tactic |
Technique |
|
Discovery |
File and Directory Discovery [T1083] |
|
|
Process Discovery [T1057] |
|
|
Query Registry [T1012] |
|
|
System Information Discovery [T1082] |
|
Defense Evasion |
Virtualization/Sandbox Evasion [T1497] |
YARA:
rule Goldenspy_Uninstaller
{
meta:
author = "SpiderLabs"
malware_family = "GoldenSpy"
filetype = "exe_dll"
version = "4.0"
strings:
$str1 = "taskkill /IM svm.exe /IM svmm.exe /F" ascii
$str2 = "\\svm.exe -stopProtect" ascii
$str3 = "\\svmm.exe -u" ascii
$str4 = "\\VCProject\\dgs\\Release\\" ascii
$str5 = "Software\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\svm" ascii
$str6 = "\\svmm.exe -stopProtect" ascii
$str7 = "\\svm.exe -u" ascii
$str8 = "Software\\Microsoft\\Windows\\CurrentVersion\\App Paths\\svm.exe" ascii
$str9 = "dGFza2tpbGwgL0lNIHN2bS5leGUgL0lNIHN2bW0uZXhlIC9GIA" ascii
$str10 = "c3ZtLmV4ZSAtc3RvcFByb3RlY3Q" ascii
$str11 = "XHN2bW0uZXhlIC11" ascii
$str12 = "U29mdHdhcmVcTWljcm9zb2Z0XFdpbmRvd3NcQ3VycmVudFZlcnNpb25cVW5pbnN0YWxsXHN2bQ" ascii
$str13 = "U29mdHdhcmVcTWljcm9zb2Z0XFdpbmRvd3NcQ3VycmVudFZlcnNpb25cQXBwIFBhdGhzXHN2bS5leGU" ascii
$str14 = "XHN2bS5leGUgLXU" ascii
$str15 = "c3ZtbS5leGUgLXN0b3BQcm90ZWN0" ascii
$str16 = {4951538BCEE8[0-10]8D4C2424[0-10]8D44243C[0-4]68[0-20]83C4088B5004C644247404}
$str17 = {535556578D4C2414[0-10]8D44242C68[0-10]50C744247C[0-10]83C4088B7004C64424[0-50]8BFE83C9FF33C0}
condition:
(uint16(0) == 0x5A4D) and 4 of ($str*)
}
たびたび改良されるGoldenSpyアンインストーラーについて解説する本リサーチは、マルウェアの埋め込みや除去を含むあらゆる行為が、Golden Taxソフトウェアの機能に何ら影響を与えることなく、アップデーターモジュールの力を借りた攻撃者の意のままに秘密裏に行われる可能性を証明します。これは組織にとっての警鐘になるはずです。
Trustwaveは、サードパーティ製ソフトウェアをインストールする際に、ソフトウェアのベストプラクティスに従うことを強く推奨します。事業遂行のために必須ソフトウェア(またはすべてのサードパーティ製ソフトウェア)を導入するときは、組織の活動地域に関わらず、十二分に警戒する必要があります。GoldenSpyや、その継続的な活動に関してTrustwaveが確認した現象は、その最たる例と言えます。