>
Insiktレポート

「北京ワンパス」の従業員ソフトウェアはスパイウェアの特徴を示しています

投稿: 2021年7月29日
作成者 : Insikt Group

insikt-logo-blog.png

編集者注 : 以下の投稿はレポート全文の抜粋です。分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

Executive Summary

Recorded Futureのクライアントは、「Beijing One Pass」と呼ばれるソフトウェアアプリケーションによって引き起こされた潜在的なセキュリティインシデントに関する情報をInsikt Groupに提供しました。 この中国政府が支援するアプリケーションは、国家の福利厚生情報へのアクセスを可能にし、情報の紙のコピーが利用できなくなることを通知された後、Recorded Futureクライアントの従業員によってダウンロードされました。

Insikt Groupは、インストールされたアプリケーションが望ましくない可能性のあるアプリケーション(PUA)やスパイウェアと一致する特性を示すことを独自に検証しました。 このソフトウェアは、中国の国営企業である北京認証局(北京数字认证股份有限公司)に関連付けられています(BJCA、 www.bjca[.]cn)。 

いくつかの注目すべき疑わしい動作は、いくつかのドロップされたファイルと、プライマリアプリケーションから開始された後続のプロセスに関連しています。 これらの動作には、永続化メカニズム、スクリーンショットやキーストロークなどのユーザーデータの収集、バックドア機能、およびセキュリティやバックアップ関連サービスの無効化など、悪意のあるツールに一般的に関連するその他の動作が含まれます。

Beijing One Passにスパイウェアのような機能が含まれていることの背後にある意図を確認することはできません。しかし、同様のスパイウェアのような機能を備えたソフトウェアが、少なくとも他の1つの中国地域である陝西省CAによって開発されたことは注目に値します。 これらの機能は、デバイスへのアクセスを意図的に試みた証拠(セキュリティ組織が企業ネットワークをリモートで検査することを認める中国の サイバーセキュリティ法 を支持するなど)、認証局(CA)と開発者による緩いセキュリティ慣行の結果、または中国の法律や規制に準拠するように設計された機能である可能性があります。

動機が何であれ、機密データにアクセスできるデバイスにそのようなソフトウェアをインストールすることはお勧めしません。 Recorded Futureは、中国を拠点とする従業員を抱える企業で、「One Pass」ソフトウェアを使用して国家給付情報にアクセスする必要がある企業は、機密性の高い企業データにアクセスできるデバイスで使用しないことを推奨しています。

解析

Insikt Groupは、予備分析中に、「Beijing One Pass」PCクライアントがスパイウェアアプリケーションと同様の動作を示すことを発見しました。 このソフトウェアには、集約すると、そのデータ収集機能の影響についてかなりの疑念を抱かせる組み込み機能が含まれています。

  • 永続性を確保するためにWindowsの起動時に自動実行する機能
  • ファイルの実行中に、オペレーティングシステムと人間が操作するかどうかを定期的に確認します
  • システムレジストリのROOT証明書の読み取り、作成、または変更を試みています
  • ホストデバイスでのセキュリティサービスとバックアップサービスの無効化
  • ActiveX で使用するドメインを許可リストに登録し、追加のインターネット リソースに接続できる可能性がある
  • クリップボードからのデータの読み取り
  • スクリーンショットの録画
  • キーストロークのキャプチャと取得

また、このファイルには、ポートを開いて着信接続をリッスンするバックドア機能が含まれていることを示すものもいくつかあります。 この機能は、"wmControl.exe" と呼ばれる CertAppEnv インストールに付属するドライバーに存在します。 また、アプリケーション内には、通常マルウェアに関連する分析対策機能も確認されました。

Recorded Futureクライアントから提供されたデータによると、「Beijing One Pass」アプリケーションには「Certificate Application Environment」ソフトウェアのインストールが必要です。 このソフトウェアは、中国の国営企業である北京認証局(北京数字认证股份有限公司)によって開発されたようです。 One Pass PCクライアントのインストール時に生成される後続のプロセスツリーは図1に詳しく説明されており、Insikt Groupのアナリストによってさらに調査されました。

編集者注 : この投稿はレポート全文の抜粋です。分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

関連