Ingram SUSE

ผู้เชี่ยวชาญเตือนพบมัลแวร์ ‘GoldenSpy’ ซ่อนอยู่ในซอฟต์แวร์ภาษีของจีน

Trustwave ผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ของสหราชอาณาจักรฯ เตือนบริษัทต่างชาติที่จะเข้าไปลงทุนในจีน ให้ระวังตัวจากซอฟต์แวร์ภาษีของจีนที่มีมัลแวร์ติตมาด้วย โดย Trustwave สืบพบจากลูกค้าของตัวเองหลังติดตั้งซอฟต์แวร์ที่ธนาคารแห่งหนึ่งในจีนให้มา

Trustwave ตั้งชื่อมัลแวร์ว่า ‘GoldenSpy’ ที่พบในซอฟต์แวร์ภาษีของจีนที่ชื่อ Aisino Intelligent Tax Software หลังจากพบเหตุการณ์แปลกๆ ในเครือข่ายของลูกค้า ถึงแม้ว่าซอฟต์แวร์ภาษีจะทำงานได้ตามฟังก์ชันหลักจริงแต่สิ่งที่ติดมาก็คือมัลแวร์ อย่างไรก็ดีแม้ว่าเป็นเรื่องธรรมดาหากซอฟต์แวร์จะมีฟีเจอร์ Remote Access เพื่อไว้ใช้ Debug ได้ แต่หลังจากวิเคราะห์พฤติกรรมของ GoldenSpy แล้วเชื่อว่าไม่น่าจะหวังดี โดยฟีเจอร์ที่พบมีดังนี้

  • มีการทำ Persistent ให้เริ่มต้น Service กลับมาได้หากหยุดรันไป มีการติดตามว่าหากถูกลบก็จะกลับมาใหม่ได้ 
  • ฟังก์ชัน Uninstall ของซอฟต์แวร์ภาษีไม่ได้ลบ GoldenSpy ออกไปด้วย
  • หลังติดตั้งซอฟต์แวร์ภาษีออกไปแล้ว 2 ชั่วโมง GoldenSpy ถึงถูกเรียกติดตั้งอย่างเงียบๆ
  • GoldenSpy ไม่ได้ติดต่อโดเมนเดียวกับซอฟต์แวร์ แต่มีโดเมนแยกต่างหากที่ชื่อ ningzhidata[.]com ซึ่งเมื่อติดต่อไปได้ 3 ครั้ง จะมีการสุ่มคาบเวลาติดต่อ ที่ปกติแล้วมัลแวร์มักจะทำเพื่อป้องกันโซลูชันที่ตรวจจับคาบเวลาได้
  • GoldenSpy มีสิทธิ์ระดับ SYSTEM ซึ่งทำให้สามารถเรียก Execute มัลแวร์อื่นในระบบหรือเครื่องมือแอดมินได้ จึงมีความอันตรายอย่างยิ่ง

ปัจจุบันยังไม่รู้ความจริงแน่ใจโดยมีสมมติฐานได้ 2 ทางคือรัฐบาลจีนบังคับให้ธนาคารหรือ Aisino Intelligent Tax Software ทำการสอดแนมบริษัทต่างชาติหรือว่าเป็นฝีมือของคนในธนาคารเองที่อาจจะเล็งเกี่ยวกับผลประโยชน์ด้านการเงินเอาไว้ ด้วยเหตุนี้เอง Trustwave จึงเตือนบริษัทต่างชาติที่จะเข้าไปลงทุนไว้ล่วงหน้า…

ที่มา :  https://www.zdnet.com/article/chinese-bank-forced-western-companies-to-install-malware-laced-tax-software/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

FBI จับกุมผู้ต้องหาวางแผนระเบิดดาต้าเซ็นเตอร์ของ AWS

ในสังคมอันกว้างใหญ่นี้มีอาชญากรมากมายเกิดขึ้นทุกวัน ทั้งจากโลกไซเบอร์เองหรือคนที่มีความคิดรุนแรงหวังสร้างความเสียทาง Physical ให้แก่โครงสร้างพื้นฐานทางไอที ล่าสุด FBI ก็ได้เข้าจับกุมชายรายหนึ่งที่วางแผนลอบวางระเบิดดาต้าเซ็นเตอร์ของ AWS เพราะหวังทำลายระบบอินเทอร์เน็ตส่งผลกระทบเป็นวงกว้าง

พบข้อมูลผู้ใช้ LinkedIn กว่า 827 ล้านรายการ ถูกเร่ขายในเว็บไซต์กลุ่มแฮ็กเกอร์

ในเว็บไซต์ของเหล่าแฮ็กเกอร์มีการโพสต์เร่ขายข้อมูลที่อ้างว่าเป็นผู้ใช้งาน LinkedIn จำนวนกว่า 827 ล้านรายการ