El software malicioso &#39GoldenSpy&#39 oculto en el software package de impuestos espía …


La campaña avanzada de amenaza persistente (APT) tiene como objetivo robar secretos de inteligencia de compañías extranjeras que operan en China.

Una campaña de ataque recientemente descubierta se infiltró en una empresa de tecnología con sede en el Reino Unido a través del program de pago de impuestos requerido por un banco chino para realizar negocios en China.

Los investigadores de Trustwave encontraron el llamado malware GoldenSpy durante una operación de búsqueda de amenazas en nombre de la empresa británica víctima a mediados de abril. La compañía del Reino Unido, que Trustwave no reveló en su investigación recientemente publicada, tiene fuertes lazos con la industria de defensa y hace negocios importantes en los Estados Unidos, Australia y el Reino Unido Recientemente abrió operaciones en China.

Brian Hussey, vicepresidente de detección y respuesta de amenazas cibernéticas de Trustwave, dice que los atacantes usaron una puerta trasera para tomar el manage de la crimson de la compañía del Reino Unido. Hasta la fecha, Trustwave ha confirmado otros incidentes de este tipo en una empresa de software program / tecnología, así como en una importante institución financiera mundial.

«Ellos (los atacantes) podrían ejecutar comandos de Windows, crear nuevos usuarios, moverse lateralmente y cargar código para ejecutar malware», dice Hussey. «También podrían utilizar el acceso a la crimson para filtrar datos».

Hussey no confirmó que los atacantes eran agentes del gobierno chino, pero dijo que estaban motivados más por la inteligencia que por las ganancias financieras.

«Las empresas deben comprender que existen riesgos para hacer negocios en China y que este tipo de ataques son posibles», dice. «Una vez que se descubrió el ataque, segmentamos la crimson para que la compañía del Reino Unido pudiera usar el application de pago de impuestos para pagar sus impuestos locales, pero los atacantes ya no tenían acceso a la red completa».

La ola de confianza reporte continúa presentando un patrón de comportamiento sospechoso por GoldenSpy:

  • Continúa propagándose incluso después de borrado. GoldenSpy instala dos versiones idénticas de sí mismo, ambas como servicios de inicio automático persistentes. Si cualquiera deja de funcionar, reaparecerá su contraparte. Además, utiliza un módulo EXEProtector que supervisa la eliminación de cualquier iteración de sí mismo. Si se elimina, el malware descargará y ejecutará una nueva versión. Trustwave cree que esta protección de triple capa hace que sea extremadamente difícil eliminar este tipo de archivo de un sistema infectado.
  • Difícil de desinstalar. La función de desinstalación del software program Clever Tax no eliminará GoldenSpy. Deja que GoldenSpy se ejecute como una puerta trasera abierta en el entorno, incluso después de que el software program de impuestos se elimine por completo.
  • No se instala por completo durante dos horas. GoldenSpy no se descarga e instala hasta dos horas después de que finaliza el proceso de instalación del software program de impuestos. Cuando finalmente se descarga e instala, lo hace en silencio, sin notificación. Trustwave considera esto muy inusual y un método para esconderse de la víctima.
  • Llega a dominios sospechosos. GoldenSpy no se pone en contacto con la infraestructura de crimson del software de impuestos (i-xinnuo (.) Com), sino que se comunica con ningzhidata (.) Com, un dominio conocido por alojar otras variantes del malware GoldenSpy. Después de los primeros tres intentos de contactar a su servidor de comando y regulate, aleatoriza los tiempos de baliza para evitar las tecnologías de seguridad de purple diseñadas para identificar el malware de baliza.

«Mostraron mucha paciencia y disciplina, lo que me lleva a creer que esta fue una operación para reunir inteligencia», dice Jake Williams, fundador y presidente de Rendition Infosec. «Los atacantes motivados financieramente no buscarían jugar el juego largo creando malware que se infiltra lentamente en los clientes de la compañía de software package de impuestos. Por supuesto, una vez que salgan las noticias, habrá personas que creerán que fue el gobierno (chino) no importa qué nueva información salga, así que creo que será perjudicial para «ellos», dice.

Williams dice que también podría ser otro estado-nación hecho parecer que está operando fuera de China. También es interesante que el software fiscal se usó para infiltrarse en los sistemas de la compañía del Reino Unido, señala, ya que el software fiscal también se usó en el ataque NotPetya, que al closing causó daños por más de $ 10 mil millones.

En la búsqueda

Hussey de Trustwave dijo que mientras realizaba un análisis de amenazas de rutina para su cliente del Reino Unido, su equipo de investigación encontró un archivo ejecutable que mostraba un comportamiento muy inusual que enviaba información del sistema a un dominio chino sospechoso. Los procesos eran parte del software requerido por el banco para pagar los impuestos locales, llamado Smart Tax, que fue desarrollado por el Golden Tax Department de Aisino Corporation.

Mientras Trustwave continuaba su investigación, descubrió que el software package de impuestos funcionaba como se anunciaba, pero también instalaba la puerta trasera oculta.

«Básicamente, era una puerta abierta a la purple con privilegios de nivel de SISTEMA que se conectaban a un servidor de comando y management completamente separado de la infraestructura de red del application de impuestos», dijo el informe. «En foundation a esto, y varios otros factores, determinamos que este archivo tiene características suficientes para ser malware. Desde entonces, hemos realizado una ingeniería inversa completa de los archivos y hemos nombrado a la familia GoldenSpy».

contenido relacionado

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para ese «día realmente malo» en ciberseguridad. Haga clic para más información y para registrarse para este evento bajo demanda.

Steve Zurier tiene más de 30 años de experiencia en periodismo y publicaciones, la mayoría de los últimos 24 de los cuales se dedicaron a la tecnología de redes y seguridad. Steve tiene su sede en Columbia, Maryland. Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia unique