2020年4月、Trustwave SpiderLabsのThreat Fusionチームは、あるお客様と、事前対処型のスレットハントを実施する契約を交わしました。 同社は世界的なテクノロジーベンダで、米国、オーストラリア、英国においてかなりの政府関連事業を担っています。そして、最近中国に拠点を開設しました。 Trustwaveのスレットハントにより、同社のネットワークの長期的セキュリティに重大な影響がある、重要な発見事項がいくつか見つかりましたが、現在中国で事業を行っている他の無数の企業に影響が及ぶ可能性があるため、ある発見事項の重要性が際だっていました。Trustwaveによる調査結果の完全な分析については、ダウンロードできるこのレポートに記載されています。this report.

調査レポート

Golden Tax部門とGoldenSpyマルウェアの出現

Trustwave SpiderLabsのスレットハンティングエキスパートは、中国で事業を行う企業を標的とするマルウェア活動を調査しています。このレポートでは、新しい脅威の正体を確認し、ハンティング、調査、修正の具体的な方法を示しています。これらを利用すれば、企業の情報環境に問題がないことの確認に役立ちます。

今すぐダウンロード

調査の詳細

Trustwaveは、非常にまれな挙動を示し、疑わしい中国のドメインにシステム情報を送信する実行可能ファイルを特定しました。クライアントと討議した結果、これは同社の銀行が求めた税務ソフトウェアの一部であることが明らかになりました。 中国で事業を開始するに際して、地方税の支払のために、同社が利用する現地の中国系銀行から、Aisino CorporationのGolden Tax（金税）部門（訳注：中国税務機関専用の「増値税発票」発行システム（China Golden Tax System）を担当する部門）によって作成されたIntelligent Taxという名前のソフトウェアパッケージをインストールすることを求められた、との情報を得ました。

この税務ソフトウェアを引き続き調査したところ、ソフトウェアは公表されている通りに機能するものの、隠されたバックドアもシステムにインストールされることが判明しました。このバックドアにより、リモートの敵対者は、Windowsコマンドの実行や（ランサムウェアやトロイの木馬などのマルウェアを組み込む）任意のバイナリのアップロードと実行が可能になっています。 これは基本的に、「システム」レベルの権限によってネットワークへと開け放たれた出入り口であり、税務ソフトウェアのネットワークインフラストラクチャとは完全に別個の、コマンドアンドコントロール（C&C）サーバに接続されていました。 これを始めとするいくつかの要因（後述）に基づいて、Trustwaveでは、このファイルは、マルウェアであると言える特性を十分に持っていると判断しました。その後、ファイルの完全なリバースエンジニアリングを行って、このファミリをGoldenSpyと名付けました。

GoldenSpyには、Chenkuo Network Technologyという名前の企業の電子署名がありました。署名では、製品と説明フィールドの両方で同一のテキスト（认证软件版本升级服务）が使用されていました。これを翻訳すると、「ソフトウェアバージョンアップグレード保証サービス」となります。 この名前は正当なソフトウェアのような印象を与えますが、この状況において、税務ソフトウェアには正しく機能する独自のアップデートツールがすでに用意されており、見方によればGoldenSpyとは全く関係がありません。

このファイルにはその他に、以下を含め、普通ではない面がいくつもありました。

• GoldenSpyは、自身のまったく同じバージョン2つを、どちらも永続的な自動起動サービスとしてインストールします。いずれかが動作を停止した場合は、それと対になって機能している側が再生成されます。 さらに、どちらの側の削除も監視する実行ファイル保護機能モジュールを利用しています。 削除されると、新しいバージョンがダウンロードされて実行されます。 実際上、この3層の保護により、感染したシステムからこのファイルを削除することが極めて困難になっています。
• Intelligent Taxソフトウェアのアンインストール機能では、GoldenSpyはアンインストールされません。税務ソフトウェアが完全に削除された後であっても、GoldenSpyは環境に対して開かれたバックドアとして実行されたままになります。
• GoldenSpyは、税務ソフトウェアのインストールプロセスが完了した後、まる2時間経つまでダウンロードとインストールが行われません。いよいよダウンロードとインストールが行われるときにはひっそりと行われ、システムで通知は行われません。このように長時間遅らせることは、非常にまれであり、被害者の注意から逃れる手段となっています。
• GoldenSpyは、税務ソフトウェアのネットワークインフラストラクチャ（i-xinnuo[.]com）には接続せずに、ningzhidata[.]comにアクセスします。これは、GoldenSpyマルウェアのその他のバリエーションをホストしていることが分っているドメインです。C&Cサーバへのアクセスを最初の3回試みた後は、定期通信の期間をランダム化します。 これは、定期通信を行うマルウェアを特定するよう設計されたネットワークセキュリティテクノロジーを回避するための既知の手段です。
• GoldenSpyはシステムレベルの権限で動作するため、非常に危険性が高く、システムであらゆるソフトウェアを実行可能なマルウェアとなっています。それには、偵察の実施、新規ユーザの作成、権限の昇格などを行う追加のマルウェアやWindows管理ツールが含まれます。

Trustwaveではこれらの要因から、GoldenSpyは、被害者のシステムのあらゆるリモートコマンドと制御を未知の敵対者に譲り渡す、うまく隠された強力なバックドアであるという結論に至りました。

この図は、インストールされたGoldenSpyの、Intelligent Taxソフトウェアを介したネットワーク通信パターンを示しています。

この活動の範囲は、現時点では明らかではありません。 Trustwaveのお客様にとっては、GoldenSpyは秘密のうちにAisino Intelligentの税務ソフトウェア内に組み込まれたわけですが、このソフトウェアが極めて重要なデータにアクセスするために標的とされたのか、この活動が、中国で事業を行うすべての企業に影響を及ぼすのか、Trustwaveでは断定することができません。 Trustwaveでは、世界的な財務組織で同様の活動を発見しましたが、この活動に対するさらに詳しい遠隔データはまだ入手しておりません。

現在のGoldenSpy活動は2020年4月に始まりましたが、Trustwaveのサイバースレットインテリジェンスアナリストは、2016年12月までさかのぼるGoldenSpyのバリエーションを発見しています。 興味深いのは、Chenkuo TechnologyのWebサイトでは2016年10月にAisinoとのパートナーシップを発表していることで、これは、GoldenSpyマルウェアファミリが最初に出現した2か月前です。 両社のパートナーシップは、「ビッグデータに関する協業」が目的です。 確かにGoldenSpyにより、ビッグデータへのアクセスとその収集を実現できたことでしょう。 Trustwave SpiderLabsには、現時点で、GoldenSpyが2016年以来活動状態にあったかどうかに関する情報がありません。Trustwaveで使用が初めて確認されたのは2020年4月だったためです。誤解のないように言えば、Trustwaveでは、この脅威が及ぶ範囲、その目的、背後にいる攻撃者については、まだ分っておりません。Chenkuo TechnologyやAisinoが積極的な当事者や自発的な当事者であるかどうか、あるいはレポートに記載されている内容以外に、彼らがどれほど関与しているかは判明しておりません。

推奨事項

中国で業務を行っているか、AisinoのIntelligent Taxソフトウェアを使用しているすべての企業は、このインシデントを脅威と見なして、Trustwaveのテクニカルレポート（下にダウンロードリンクがあります）で概要を説明しているように、スレットハンティング、封じ込め、修正の対策に取り組むべきであるとTrustwaveは確信しています。

Trustwave SpiderLabsは継続して、GoldenSpy活動に関する遠隔データの調査と探索を積極的に実施しています。 この活動に関する何らかの情報をお持ちの場合や、この攻撃の犠牲になったかも知れないと思われる場合は、Trustwave SpiderLabsのThreat Fusion Team<GoldenSpy@trustwave.com>までご連絡ください。

アドバイスや情報交換をさせていただきます。またスレットハンティング／フォレンジック調査サービスのご相談も受け付けております。

GoldenSpy に関するテクニカルレポート

Trustwaveは、以下の内容が含まれるGoldenSpyに関する詳細なテクニカルレポートを用意いたしました:

• ネットワークとファイルシステムの侵害証跡（IOC）を含むインシデントの全詳細
• マルウェアのリバースエンジニアリング分析レポート
• 過去のネットワークIOCと既知のGoldenSpy変異形
• 未知のGoldenSpy変異形を特定するために設計されたカスタムYARAシグネチャを含む、GoldenSpyのスレットハンティングに関する推奨事項
• 修復に関する推奨事項

今すぐダウンロード

Trustwaveの文書化される脆弱性開示プロセスの一部として、これらの調査結果についてAisino CorporationとNanjing Chenkuo Network Technologyに連絡を取り、大要を伝えました。本レポートの公開時点(2020年6月25日)では、いずれの企業からも返答がありません。

Brian Husseyは、Trustwaveのサイバースレットディテクション＆レスポンス担当バイスプレジデントです。 彼はSpiderLabsのThreat FusionチームとGlobal Threat Operationsチームを率いています。 Trustwaveのマネージドディテクト＆レスポンス（MDR）、マネージドディテクト（MD）、スレットハンティング、インテリジェンス、および調査サービスが、彼の権限内で行われています。