GoldenHelper, a new malware delivered via Chinese tax software
Trustwave의 보안 연구원들이 세금 소프트웨어를 통해 배포되는 또 다른 악성코드 패밀리를 발견했습니다.
중국은행은 이 소프트웨어를 중국 내에서 운영되는 회사에 설치할 것을 요구해온 것으로 나타났습니다.
이를 발견한 연구 팀은 지난 6월 말 중국 내 일부 기업에서 설치해야 하는 세금 납부 소프트웨어(Aisino Intelligent)를 통해 새로운 백도어인 GoldenSpy가 배포된다는 것을 발견했습니다.
이 캠페인은 적어도 2020년 4월부터 활성화되었지만 전문가들은 2016년 12월경 시작된 것으로 보이는 샘플 일부를 발견했습니다.
보고서를 발행하고 며칠이 지난 후, 해킹된 기기에 Trustwave의 초기 보고서에서 제시된 GoldenSpy 제거 절차를 구현하는 언인스톨러가 푸시되었습니다.
이제 동일한 메커니즘을 통해 새로운 악성코드인 GoldenHelper가 배포되는 것으로 나타났습니다.
이 공격에 사용되는 인보이스 소프트웨어(Baiwang Edition)인 Golden Tax 또한 중국은행에서 고객에게 설치하도록 요구합니다.
이 새로운 악성코드는 GoldenSpy와는 완전히 달랐습니다.
연구원들은 GoldenHelper가 “Baiwang Edition”이라 표시되어 있지만 Aisino Corporation의 자회사인 NouNou Technologies의 디지털 서명을 사용한 것을 발견했습니다.
Trustwave는 보고서를 통해 아래와 같이 밝혔습니다.
“GoldenHelper 악성코드는 자신의 확산, 존재, 활동을 숨기기 위해 정교한 기술을 사용합니다. GoldenHelper는 전송 중 이름 랜덤화, 파일 시스템 위치 랜덤화, 타임 스탬핑, IP 기반 도메인 생성 알고리즘(DGA), UAC 우회 및 권한 상승 등 흥미로운 기술을 사용합니다.”
“GoldenHelper는 최종 페이로드인 taxver.exe를 드롭하도록 설계된 것으로 보입니다. Trustwave SpiderLabs는 아직까지 이 파일의 복사본을 찾을 수 없었습니다. 독자분들 중 이 파일에 대한 정보나 샘플이 있으실 경우 goldenspy@trustwave.com로 보내주시기 바랍니다.”
전문가들은 GoldenHelper가 2018년 1월부터 2019년 7월까지 활동한 것으로 추측했습니다.
이후 동일한 공격자가 2020년 4월 GoldenSpy 캠페인을 실행 후 같은 해 6월 Trustwave SpiderLabs의 보고서 발행 이후 종료했습니다.
GoldenHelper는 세금 소프트웨어의 sc.exe 컴포넌트가 실행하는 SKPC.DLL를 통해 Golden Tax 소프트웨어와 상호작용합니다.
이후 해당 dll은 WMISSSRV.DLL을 사용하여 권한을 상승시키고, 파일 이름이 랜덤인 .DAT 파일을 사용하여 SYSTEM 권한으로 임의 코드를 가져와 실행합니다.
RandomName.dat은 IP 주소 형태로 응답이 전달되는 하드코딩된 도메인 3곳과 연락합니다.
이 IP 주소를 구성하는 각 옥텟에는 최종 페이로드 전달을 위한 지침이 숨겨져 있습니다.
“IP 주소에 숨겨진 것은 어디서 taxver.exe를 다운 받을지, 전송 시 이름을 어떻게 붙일지, 피해자 파일 시스템 내 어느 곳에 이를 저장할지를 알려주는 지침이었습니다. 아래 각 도메인은 하나가 예상된 IP 주소로 리턴될 때까지 해석됩니다.”
이 악성코드는 taxver.exe를 다운로드 및 실행하려 시도합니다. 하지만 연구원들은 아직까지 이 페이로드 샘플을 찾지 못했습니다.
연구원들은 정식 소프트웨어는 UAC 우회를 통한 권한 상승을 위해 윈도우 보안을 우회하지 않고, 파일 위치를 랜덤화하거나 이름을 숨기지 않고, 버전 협상 프로토콜이 없지 않으며, DNS 기록을 무시하지 않는다고 강조했습니다.
현재 알약에서는 해당 악성코드 샘플에 대해 'Misc.Riskware.TaxHelper'으로 탐지 중에 있습니다.
출처:
https://securityaffairs.co/wordpress/105920/malware/goldenhelper-malware-chinese-tax-software.html
해커들, 관리자 툴 이용해 트위터 해킹 후 계정 훔쳐 (0) | 2020.07.17 |
---|---|
Cisco, 치명적인 사전 인증 취약점 수정 (0) | 2020.07.16 |
암호화를 위해 구글 유틸리티를 사용하는 AgeLocker 랜섬웨어 발견 (0) | 2020.07.15 |
윈도우 DNS 서버에 영향을 미치는 치명적인 RCE 취약점 발견 (0) | 2020.07.15 |
미국 시민 4만 명의 개인정보 및 SSN 판매돼 (0) | 2020.07.14 |
댓글 영역