0xNews - 중국에서 사업하는 업체 대상으로 하는 맬웨어 Malware 발견

Trustwave SpiderLabs 연구팀 발표

GoldenSpy 라는 이름의 맬웨어 발견

기술 기반 클라이언트 대상 위협에 대한 추적 작업 중 발견

이번에 발견된 APT Advanced Persistent Threat 캠페인은 중국에서 사업을 수행하는 기업의 민감 정보 탈취를 목적으로 함

연구팀은 2020년 4월 이후 GoldenSpy 맬웨어가 Aisino Intelligent Tax 소프트웨어 제품군에 내장된 것을 발견

해당 프로그램은 세금 소프트웨어로 중국에서 운영되는 회사가 현지 세금 납부를 할 수 있는 비즈니스 제품으로 필수적으로 사용

Intelligent Tax 소프트웨어는 백그라운드에서 2시간 후 svminstaller.exe 라는 파일을 다운로드하여 실행

실행된 후 svm.exe 와 svmm.exe 라는 다른 두개의 파일 다운로드

추적 결과 해당 파일은 URL download.ningzhidata.com 에서 다운로드

svm.exe(GoldenSpy)는 정보 수집을 담당

포트 9006 통해 www.ningzhidata.com 으로 데이터 전송

svm 과 svmm 파일은 프로세스가 종료된 경우

시스템 레벨 권한으로 작동하는 자동 시작 서비스로 설치되며 자동으로 재시작으로 설정

연구팀은 해당 소프트웨어가 얼마나 퍼져있는지 확인 불가능

해당 소프트웨어는 중국 내 사업을 하는 회사에서 사무실마다 사용

회사에서 회계나 경리부서 등 세금을 납부하는 조직의 일부 소수 이용자만만 사용하고 있기 때문에 확산 정도에 대한 상세 파악은 불가능하다고 판단

svm.exe(GoldenSpy)은 데이터를 전송하고 명령을 받기 위해 ningzhidata.com 과 통신을 수행

연구팀 분석 결과 해당 도메인과 그 하위 도메인은 여러 IP 주소로 확인

인증서를 기반으로 일부는 qcloud CDN 이며 다운로드만 수행하는 호스팅으로 파악

다음은 연구팀에서 분석한 통신에 사용되는 포트 리스트

포트 9005, 9006

svm.exe 네트워크 트래픽에 사용되는 포트

포트 9002

업데이트 서비스에서 svm.exe 다운로드 링크를 요청하는데 사용

포트 8090

직접 사용되지는 않지만 일부 상황에서 svm 이 해당 포트를 통해 다운로드 수행

간혹 공개된 검색 사이트에서 표시

포트 33666

설치시 Golden Tax 소프트웨어에 의해 설정된 WebSocket

연구팀은 분석 결과를 IOC Indicators of Compromise 에 보고

중국측과 협력하여 해당 문제 처리하도록 권고

중국 내에서 사업을 영위하는 업체의 보안 관리자는 네트워크 연결에 대한 조사와 대응을 권장

IOC Indicators of Compromise 사이트 링크

openLab