中国の銀行がバックドアを作成するソフトのインストールを取引先に求めていた

中国で事業を展開している企業において、システム情報を不審な中国のドメインに送信している事例があり、セキュリティ企業・Trustwave SpiderLabsが調査を行ったところ、銀行からインストールを求められたソフトウェアによりバックドアが作られ、任意のバイナリをアップロードして実行できる状態になっていたことがわかりました。Trustwave SpiderLabsはこのファイルを「GoldenSpy」と名付けています。

The Golden Tax Department and the Emergence of GoldenSpy Malware | Trustwave
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/the-golden-tax-department-and-the-emergence-of-goldenspy-malware/

Chinese bank requires foreign firm to install app with covert backdoor | Ars Technica
https://arstechnica.com/information-technology/2020/06/chinese-bank-requires-foreign-firm-to-install-app-with-covert-backdoor/

当該ファイルはTrustwaveの顧客企業が中国で営業を開始する際に現地の銀行からインストールを求められた、アイシーノ製の税務ソフト「Intelligent Tax」に含まれていたとのこと。

Trustwaveが「GoldenSpy」と名付けたこのファイルは、一般に宣伝されているように税務ソフトとして動作するほか、システムに対してバックドアを作成し、ランサムウェアやトロイの木馬など任意のバイナリをアップロードして実行できるようになっていました。

調査によると、GoldenSpyはIntelligent Taxのインストールと同時ではなく、Intelligent Taxのインストールプロセスが完了して丸2時間経過してからダウンロードされ、しかもダウンロードとインストールの完了は一切通知されないとのこと。この遅延動作により、被害者はGoldenSpyをインストールされたことに気がつきにくくなっています。

また、GoldenSpyは2つの同一バージョンを自動起動サービスとして登録しており、どちらかが停止してももう片方が再起動する仕組みとなっていたとのこと。さらに、監視モジュールにより、削除されると新たなバージョンをダウンロードして実行するようになっていて、感染済みのシステムからファイルを削除することがとても困難になっていたそうです。当然ながら、Intelligent TaxのアンインストールではGoldenSpyはアンインストールされません。

ただ、Trustwaveの顧客企業の場合、GoldenSpyをインストールされていることは確認できたものの、重要なデータへアクセスするために狙われたのか、中国でビジネスを行う企業すべてが狙われたのかははっきりしないとのこと。

Trustwaveのアナリストによれば、GoldenSpyの活動は2016年12月にまで遡って確認可能だったものの、実際にバックドアが使用された兆候は今回の2020年4月のケースが初だったとのことです。