2020年6月25日、Trustwave SpiderLabsは、Aisino Corporationによって作成され、中国の銀行によって使用が義務付けられたIntelligent Taxソフトウェアに、ネットワークのコマンドアンドコントロールを譲り渡す隠されたバックドアが含まれているという研究結果を公開しました。Trustwaveは、新しいマルウェアファミリをGoldenSpyと命名しました。これは、ある中国の銀行が、中国で事業活動を行う企業にインストールするよう求めている税金支払いソフトウェアに組み込まれていました。この話題は、国際的にニュース報道で取り上げられ、セキュリティ業界で広く議論されました。最初のブログを閲覧するには、ここをクリックしてください。
2020年6月28日に、当社のThreat Fusionチームが、Aisino Intelligent Taxソフトウェアによってダウンロードされている新しいファイルを特定しました。しかし、この時点では、遠隔のコマンドアンドコントロールで被害者に対して何かを実行しているわけではありませんでした。むしろ、この新しいサンプルの任務は、GoldenSpyを削除し、それが存在した痕跡を消すことです。アンインストーラは、レジストリエントリ、すべてのファイルとフォルダ(GoldenSpyログファイルを含む)の削除を含め、最終的には次のコマンドを使用してそれ自身を削除します:cmd.exe /c del /q C:\Users\admin\AppData\Local\Temp\AWX.exe。注:「/c」は作業の完了後にWindowsコマンドラインインターフェイスを終了し、「/d」は許可を求めたり、通知を提供したりせずに削除します。
痕跡なく、つまり、それがそこに存在したことすら知られないように消え去ります。
当社のテストでは、このGoldenSpyアンインストーラは自動的にダウンロードおよび実行され、さらに事実上、環境内でのGoldenSpyの直接の脅威を無効にします。ただし、このアンインストーラは一般に正規とみなされている税務ソフトウェアから直接配信され、導入されるため、Intelligent Taxのユーザは同様の方法で他に何かがダウンロードされ実行されている可能性を懸念せざるを得ません。
SpiderLabsチームは、このように迅速にGolden Tax攻撃活動の手順を逆に辿った、GoldenSpyの研究と分析の結果に満足していますが、この新しい展開が攻撃者の活動の減速を示していると信じるほど楽観的ではありません。この脅威は、信じられないほど賢く革新的な敵によって仕掛けられた、はっきりと目前にある危機です。悦に入るのはほどほどにし、チームは次の脅威ハンティングに戻ります。
敵はトリックを仕掛け、操作し、環境に侵入する新しい方法を模索し続けているため、組織は継続的に警戒し、常時スレットハンティングを行う必要があります。GoldenSpy事例の価値は当社が提供するIOCではありません。それは、ソフトウェアのソースや想定された正当性にかかわらず、どのソフトウェアにもマルウェアが巧妙に隠されている可能性があるという教訓です。
GoldenSpyアンインストーラの分析の詳細は次のとおりです:
GoldenSpy アンインストーラ
説明:
Trustwave SpiderLabsは、ソフトウェアの実行が、感染したマシンで新しいソフトウェアをアップグレードまたはインストールするために提供されたコマンドから生じていることを観察したため、主要な税務ソフトウェアの実行可能ファイルについて、実行フローを再度調査しました。
インストールすると、主要な税務モジュールは必要なソフトウェアアップグレードを行うためにPOST要求を送信します。最初に、GoldenSpyマルウェアを埋め込むためのSVMinstallerモジュールをダウンロードしますが、6月28日現在、「AWX.exe」と呼ばれるカスタマイズされたGoldenSpyアンインストーラをダウンロードして実行する新しいフローが特定されています。現在、Aisino Intelligent Taxソフトウェアは、GoldenSpy自体ではなく、GoldenSpyアンインストーラを導入しています。このことから、次に何を導入する可能性があるかについて疑問が生じてきます。
「AWX.exe」と呼ばれるGoldenSpyアンインストーラは、223.112.21.2:8090から感染したマシンに密かにプッシュ送信され、GoldenSpyが存在した痕跡をすべて消し去ります。次のフローでプロセスが開始されます:
- コマンド「PROTOCOL_00」がソフトウェアアップグレードを要求します
- 「AWX.exe」をインストールするためのコマンドを受信します
- コマンド「PROTOCOL_99」によって「AWX.exe」をダウンロードして実行します
- http://223.112.21[.2:8090]/download/AWX.exe
分析:
MD5: 735AC19B261DC66D5850BEA21F3D54FE
SHA256: 7F5ED71F18937ECC6DB9520CA9A9D16E3C113609C7A9A99A29BA74687F1349D2
SHA1: 4755B68996B53AD3F734127FE46723B60681856E
PDB path : D:\日常工作\客户端软件\VCProject\dgs\Release\del.pdb
変換後 : D:\day-to-day work\Client software\VCProject\dgs\Release\del.pdb
作成されたタイムスタンプ : 28 June 2020 04:15PM GMT
インストール時に、AWX.exeは次のアクションを実行します:
- 実行可能ファイル「svm.exe」および「svmm.exe」を特定します
- 「GoldenSpy」サービスを停止します
- 「svm.exe」と「svmm.exe」の両方のプロセスをkillします
- プロセスをsvmエラーログに記録します
- C:\Program Files (x86)\svm\log\{yearmonthdate}-svm.log
- C:\Program Files (x86)\svm\log\{yearmonthdate}-svmm.log
ログエントリの内容を以下に示します:
- [yeardatemonth time] [ERROR][SVM](5056): 1063
- [yeardatemonth time] [ERROR][SVMM](3880): 1063
- 自動起動サービスをアンインストールし、GoldenSpyへの参照を含むすべてのファイルとフォルダを削除します。次が含まれます:
- C:\Program Files (x86)\svm\svm.exe
- C:\Program Files (x86)\svm\svmm.exe
- C:\Program Files (x86)\svm
*注:この削除操作では、生成されたばかりのログファイルも削除されます。
- レジストリエントリを削除します
- 「GoldenSpyアンインストーラ」AWX.exeを自身で削除します
cmd.exe /c del /q C:\Users\admin\AppData\Local\Temp\AWX.exe
特定された第2のサンプル – BWXT.EXE
6月29日の早朝の時間帯に、GoldenSpyアンインストーラの第2バージョンが、Intelligent Taxソフトウェアによってダウンロードされていることが特定されました。最初のバージョンが特定されてからほんの数時間後です。新しいサンプルは、2020年6月29日、10:38PM GMTにコンパイルされました。動作面ではAWX.EXEと同じですが、このバージョンは、変数がBase64エンコーディングで難読化されていました。SpiderLabsは、この変更の理由を立証できませんが、いくつかのAVエンジンがAWX.EXEについて警告し始めているため、アンチウイルスを回避してきた可能性があると仮説を立てています。
AWX.EXE内の文字列:
プロジェクトパス:
D:\日常工作\客户端软件\VCProject\dgs\Release\BWXT.pdb
変換後のプロジェクトパス:
D:\day-to-day work\Client software\VCProject\dgs\Release\BWXT.pdb
所見:
分析中に、GoldenSpy攻撃者が、彼らのアンインストーラで、当社が推奨する削除手順に従っていることが明らかになりました。次の表は、当社の推奨手順と攻撃者のアンインストーラとの比較を示しています。
|
Trustwaveの推奨手順 |
GoldenSpyアンインストーラ |
|
svm.exeとsvmm.exeの両プロセスをフリーズします |
GoldenSpyサービスを停止します |
|
SVMプロセスをkillします |
svm.exeとsvmm.exeを検索し両プロセスをkillします |
|
SVMディレクトリに移動し、関連ファイルを完全に削除します |
サービスをアンインストールし、ファイルとフォルダを削除します |
|
SVMサービスに関連するすべてのレジストリアーティファクトを削除します |
SVMサービスに関連するすべてのレジストリアーティファクトを削除します |
|
N/A |
AWX.exeを自身で削除します |
侵害の指標:
AWX.exe
|
MD5 |
735AC19B261DC66D5850BEA21F3D54FE |
|
SHA256 |
7F5ED71F18937ECC6DB9520CA9A9D16E3C113609C7A9A99A29BA74687F1349D2 |
|
SHA1 |
4755B68996B53AD3F734127FE46723B60681856E |
|
Network |
http://223.112.21[.2:8090]/download/AWX.exe |
BWXT.exe
|
MD5 |
F2A7363CF43B5900BB872B0D4C627A48 |
|
SHA256 |
7D48F65FF9E904AC98E0F41B94F04723CE907FC221EFFFBBF83545CA167FE921 |
|
SHA1 |
3DFF337E2B3E1D3DC995A4B6965AE09C1BF5B137 |
|
Network |
http://223.112.21[.2:8090]/download/BWXT.exe |
GoldenSpy アンインストーラ YARA のルール:
rule Goldenspy_Uninstaller
{
meta:
author = "SpiderLabs"
malware_family = "GoldenSpy"
filetype = "exe_dll"
strings:
$str1 = "taskkill /IM svm.exe /IM svmm.exe /F" ascii //Kill the running process
$str2 = "\\svm.exe -stopProtect" ascii //Stop the service
$str3 = "\\svmm.exe -u" ascii //Uninstall the malware
$str4 = "\\VCProject\\dgs\\Release\\" ascii //Project path
$str5 = "dGFza2tpbGwgL0lNIHN2bS5leGUgL0lNIHN2bW0uZXhlIC9GIA" ascii
$str6 = "c3ZtLmV4ZSAtc3RvcFByb3RlY3Q" ascii
$str7 = "XHN2bW0uZXhlIC11" ascii
$str8 = "Software\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\svm" ascii
$str9 = "U29mdHdhcmVcTWljcm9zb2Z0XFdpbmRvd3NcQ3VycmVudFZlcnNpb25cVW5pbnN0YWxsXHN2bQ" ascii
condition:
(uint16(0) == 0x5A4D) and 4 of ($str*)
}
Special Thanks to SpiderLabs Threat Hunter Reegun Richard Jayapaul for his analysis of this new GoldenSpy threat actor activity.