GoldenSpy

GoldenHelper, sebagaimana peneliti dari perusahaan keamanan Trustwave menjuluki malware ini, bersembunyi di dalam perangkat lunak Faktur Pajak Golden, yang semua perusahaan yang terdaftar di China diberi mandat untuk menggunakan perangkat lunak ini untuk membayar pajak. Malware ini dapat memintas Kontrol Akun Pengguna, mekanisme Windows yang mengharuskan pengguna untuk memberikan persetujuan mereka sebelum perangkat lunak dapat menginstal program atau membuat perubahan sistem lainnya. Setelah selesai, GoldenSpy dapat menginstal modul dengan hak istimewa tingkat Sistem. Trustwave menerbitkan temuannya pada hari Selasa di sini.

GoldenHelper menggunakan trik lain untuk menyembunyikan perilaku jahatnya dan menghindari deteksi dari sistem dan perangkat lunak perlindungan endpoint.

Penemuan ini terjadi tiga minggu setelah Trustwave mengekspos GoldenSpy, sepotong spyware canggih yang ditemukan oleh peneliti perusahaan dan terpasang di jaringan perusahaan teknologi multinasional besar yang baru saja membuka kantor di Cina. Seperti GoldenHelper, GoldenSpy menggunakan modus operasi instalasi yang sama — melalui Proyek Pajak Golden.

Perangkat lunak pajak yang menyimpan GoldenHelper diproduksi oleh perusahaan yang dikenal sebagai Baiwang. Baiwang dan Aisino adalah satu-satunya dua penyedia resmi sistem faktur. Penemuan terbaru menunjukkan bahwa GoldenSpy bukan kampanye satu kali, melainkan kampanye yang menggunakan setidaknya satu bagian malware lainnya dalam periode waktu yang lebih lama daripada yang diketahui sebelumnya.

File yang menjadi indikator utama malware ini bernama taxver.exe , dengan beberapa file indikator lain bernama :

1. msxxxs999.dat
2. Wmiasssrv.dll
3. Wmiasssrv.dll
4. Skpc.dll
5. JSKP_BWB_1.0.4.0.exe
6. skpc.dll

Tidak jelas mengapa GoldenHelper ditutup dengan tiba-tiba. Satu tebakan adalah bahwa operatornya meninggalkan proyek setelah tingkat deteksi melonjak, dari sekitar tiga pada Januari 2019 menjadi sebanyak 29 pada Maret. Di bawah ini adalah timeline yang melacak sejarah malware:

Berita selengkapnya baca di tautan berikut ini;
Source: Ars Technica | Trustwave

Dilansir dari NBCnews.com, sebuah vendor teknologi multinasional yang melakukan bisnis di China diinstruksikan oleh bank China untuk menginstal perangkat lunak untuk membayar pajak lokal pada awal tahun ini.

Perangkat lunak pajak itu sebenarnya sah, tetapi di dalam nya tertanam sesuatu yang tidak menyenangkan, menurut laporan baru oleh sebuah perusahaan keamanan swasta, Trustwave: Sepotong malware canggih yang memberi para penyerang akses penuh ke jaringan perusahaan.

Trustwavejuga mengatakan malware itu, yang diberi nama GoldenSpy, telah aktif pada bulan April, dan karena terdeteksi awal, perusahaan tidak yakin apakah itu pekerjaan pemerintah Cina atau kelompok kriminal. Tetapi kecanggihan malware itu, dan kurangnya hasil finansial yang cepat dan jelas, tampaknya menunjuk pada aktor negara-bangsa sebagai pelakunya, kata Brian Hussey, mantan spesialis siber FBI dan wakil presiden Trustwave untuk deteksi dan respons ancaman.

Trustwave mendeteksi malware itu setelah melihat beberapa “suar” yang mencurigakan dari jaringan klien. Mereka juga menemukan bahwa spyware diaktifkan dua jam setelah perangkat lunak pajak diinstal, dan secara diam-diam memasang pintu belakang (backdoor) yang memungkinkan penyerang memasang malware lain di dalam jaringan.

Kode berbahaya itu sangat canggih, kata Hussey. Ia memiliki apa yang disebutnya sebagai triple layer of persistence. GoldenSpy menginstal dirinya sendiri pada dua lokasi berbeda di jaringan, dan jika satu dihapus, secera otomatis akan mengaktifkan yang lainnya. Ada juga yang disebut modul pelindung, yang akan mengunduh dan menginstal salinan lain jika keduanya dihapus.

“Pada titik ini, kami tidak dapat menentukan seberapa luas penyebaran perangkat lunak ini,” kata laporan itu. “Kami saat ini mengetahui satu vendor teknologi / perangkat lunak yang ditargetkan dan kejadian yang sangat mirip terjadi di sebuah lembaga keuangan besar, tetapi ini dapat dimanfaatkan terhadap banyak perusahaan yang beroperasi dan membayar pajak di Cina atau mungkin ditargetkan hanya pada beberapa organisasi terpilih dengan akses ke informasi penting.”

“Kampanye GoldenSpy memiliki karakteristik yang sama dengan kampanye Advanced Persistent Threat (APT) terkoordinasi yang menargetkan perusahaan asing yang beroperasi di China,” kata laporan Trustwave.

Berita selengkapnya dapat dibaca pada tautan dibawah ini;
Source: NBC News

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Malware Baru Ditemukan di Perangkat Lunak Perpajakan Cina

Sebuah Spyware Tersembunyi di Dalam Perangkat Lunak Perpajakan Cina Yang Diduga Ditanamkan Oleh Aktor Negara-Bangsa

GoldenSpy

Cookies Settings