Бэкдор GoldenSpy был обнаружен аналитиками компании Trustwave летом 2020 года. Тогда выяснилось, что неназванный китайский банк вынуждал западные компании устанавливать официальное налоговое ПО, содержащее бэкдор. Вызвавшая подозрения экспертов программа называется Intelligent Tax, и она разработана Aisino Corporation специально для уплаты местных налогов.
Напомню, что GoldenSpy обладает правами уровня SYSTEM, что позволяет удаленным злоумышленникам подключаться к зараженной системе компании, выполнять произвольные команды, загружать и устанавливать другое программное обеспечение. Малварь существует с 2016 года и неясно, ее предшественником был вредонос GoldenHelper, и неизвестно, сколько организаций эти угрозы могли скомпрометировать в общей сложности.
Вскоре после публикации оригинального отчета Trustwave, аналитики компании заметили, что продукт Aisino Corporation тайком помещает файл AWX.exe во все зараженные системы. Как оказалось, этот файл создан специально для удаления бэкдора GoldenSpy и всех следов компрометации, включая записи реестра, файлы и папки малвари. Завершив «чистку», деинсталлятор удаляет из системы и самого себя.
Теперь, спустя около полутора месяцев после этого открытия, эксперты Trustwave сообщают, что на сегодняшний день найдено уже пять разных деинсталляторов для GoldenSpy (в целом обнаружено 24 различных файла), некоторые из которых были загружены в общедоступные репозитории, из-за чего обнаружить их было проще.
Все найденные варианты деинсталляторов демонстрируют одинаковое поведение, хотя некоторые из них выполняются по-разному и применяют разную обфускацию.
В целом изучение деинсталляторов показало, что начиная с третьей версии все образцы передавали уникальный ID домену ningzhidata[.]com, что позволяло операторам отслеживать активность кода. Также расследование выявило, что деинсталляторы используют IP-адрес 39.98.110[.]234 для передачи «сигналов», и исследователи связывают этот адрес с фирмой Ningbo Digital Technology, которая якобы предлагает услуги технической поддержки другим компаниям и поставщикам технологических услуг. На деле же специалисты уверены, что данная компания принимает участие в разработке бэкдора (или, как минимум, деинсталлятора для него).
На сайте Ningbo Digital Technology исследователи нашли два файла: дроппер GoldenSpy (названый iclient) и деинсталлятор для GoldenSpy (с именем QdfTools). Причем Ningbo Digital Technology предлагает деинсталлятор в качестве полезного инструмента для корпоративных сред.
