Недавно специалисты компании Trustwave сообщали, что неназванный китайский банк вынуждал западные компании устанавливать официальное налоговое ПО, содержащее бэкдор GoldenSpy. Вызвавшая подозрения экспертов программа называлась Intelligent Tax и была разработана подразделением Golden Tax, относящимся к Aisino Corporation, специально для уплаты местных налогов.
Вскоре после публикации отчета экспертов стало известно, что бэкдор GoldenSpy был тихо удален из программы.
Теперь же специалисты Trustwave рассказывают, что GoldenSpy не был первым. Так, исследователи обнаружили, что в другом налоговом ПО, Golden Tax Invoicing Software (Baiwang Edition), скрывалась малварь GoldenHelper. Данную программу зарегистрированные в Китае компании обязаны устанавливать, так как необходима для выставления счетов и уплаты налогов на добавленную стоимость (НДС).
Данное ПО так же было связано с подразделением Aisino Corporation: GoldenHelper оказался подписан цифровой подписью с использованием доверенного сертификата, выданного NouNou Technologies — дочерней компании Aisino Corporation. При этом в настоящее время в Китае существует только два официальных поставщика налоговых программ: Aisino и Baiwang. И вредоносный код GoldenHelper был обнаружен в программе авторства Baiwang.
Иногда упомянутая программа поставлялась отдельно, но некоторые пользователи заявили, что в их версии Windows 7 Home Edition сразу была установлена (скрытая) копия GoldenHelper.
В целом GoldenHelper похож на GoldenSpy и тоже представляет собой опасный бэкдор. Так, он может устанавливаться в систему без согласия пользователя, повышать привилегии до уровня SYSTEM, а затем загружать и устанавливать на зараженную машину дополнительные пейлоады. При этом малварь обходит защитный механизм User Account Control в Windows, которой обычно просит пользователя выдать конкретному ПО разрешения на установку других программ и внесение изменений в систему.
Эксперты рассказывают, что GoldenHelper использует SKPC.DLL для взаимодействия с Golden Tax, WMISSSRV.DLL для повышения привилегий и файл .DAT со случайным именем для выбора и запуска произвольного кода с привилегиями SYSTEM. Основная цель этой малвари заключается в том, чтобы загрузить и запустить taxver.exe, но специалисты не смогли найти актуальный образец фактической полезной нагрузки.
Дело в том, что кампания GoldenHelper была активна в 2018-2019 годах, а в настоящее время, похоже, уже завершилась. Частота обнаружения образов малвари, задействованных в этой кампании, возросла в середине 2019 года, и это, по всей видимости, вынудило хакеров свернуть операцию, а домены управляющих серверов истекли еще в начале 2020 года.
В целом GoldenHelper был способен:
- использовать случайно сгенерированные имена файлов;
- генерировать случайные временные метки creation и last write;
- загружать исполняемые файлы с использованием поддельных имен файлов с расширениям .gif, .jpg и .zip;
- использовать DGA на основе IP, чтобы «на лету» изменять адрес управляющего сервера.
Хотя исследователям не удалось доказать, что taxver.exe — это действительно малварь, они отмечают, что легитимное ПО обычно не обходит средства защиты Windows для повышения привилегий, не рандомизирует свое местоположение, не скрывает свое имя, не пытается вносить изменения в записи DNS и так далее.
Эксперты Trustwave резюмируют, что GoldenHelper, очевидно, был предшественником GoldenSpy:
«За кампанией GoldenHelper последовала GoldenSpy, и мы не сомневаемся в том, что эта угроза продолжит эволюционировать в новую методологию, нацеленную на предприятия, работающие в Китае».