"베이징 원패스" 직원용 소프트웨어가 스파이웨어 특성을 보여줍니다.

편집자 주: 다음 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.

Executive Summary

레코디드 퓨처의 한 고객이 '베이징 원 패스'라는 소프트웨어 애플리케이션으로 인해 발생한 잠재적 보안 사고와 관련된 정보를 Insikt 그룹에 제공했습니다. 중국 정부가 지원하는 이 애플리케이션은 주정부 혜택 정보에 액세스할 수 있게 해주며, 레코디드 퓨처의 고객사 직원들이 종이 사본을 더 이상 제공하지 않는다는 통보를 받은 후 다운로드했습니다.

인싯트 그룹은 설치된 애플리케이션이 잠재적으로 원치 않는 애플리케이션(PUA) 및 스파이웨어와 일치하는 특성을 보이는지 독립적으로 확인했습니다. 이 소프트웨어는 중국 국영 기업인 베이징 인증 기관(北京数字认证股份有限公司, BJCA, www.bjca[.]cn)과 관련이 있습니다. 

몇 가지 주목할 만한 의심스러운 행동은 여러 개의 삭제된 파일과 기본 애플리케이션에서 시작된 후속 프로세스와 관련이 있습니다. 이러한 동작에는 지속성 메커니즘, 스크린샷 및 키 입력과 같은 사용자 데이터 수집, 백도어 기능, 보안 및 백업 관련 서비스 비활성화 등 악성 도구와 일반적으로 연관된 기타 동작이 포함됩니다.

베이징 원 패스에 스파이웨어와 유사한 기능이 포함된 의도는 확인할 수 없지만, 적어도 한 곳의 다른 중국 지역인 산시성 CA에서 개발한 유사한 스파이웨어와 유사한 기능을 가진 소프트웨어가 있다는 점은 주목할 만합니다. 이러한 기능은 보안 기관이 기업 네트워크를 원격으로 검사할 수 있도록 허용하는 중국의 사이버보안법을 지원하기 위해 의도적으로 장치에 액세스하려는 시도, 인증 기관(CA) 및 개발자의 느슨한 보안 관행의 결과 또는 중국 법률 및 규정을 준수하도록 설계된 기능의 증거일 수 있습니다.

동기가 무엇이든 민감한 데이터에 액세스할 수 있는 디바이스에 이러한 소프트웨어를 설치하는 것은 권장하지 않습니다. 레코디드 퓨처는 중국에 근무하는 직원이 있는 회사에서 '원 패스' 소프트웨어를 사용하여 주정부 혜택 정보에 액세스해야 하는 경우 민감한 기업 데이터에 액세스할 수 있는 기기에서는 사용하지 말 것을 권장합니다.

분석

인싯트 그룹은 예비 분석 중에 '베이징 원 패스' PC 클라이언트가 스파이웨어 애플리케이션과 유사한 동작을 보인다는 사실을 발견했습니다. 이 소프트웨어에는 데이터 수집 기능의 의미에 대해 상당한 의심을 불러일으킬 수 있는 기능이 내장되어 있습니다:

• Windows 시작 시 자동 실행 기능으로 지속성 보장
• 파일이 실행될 때 운영 체제와 사람의 상호 작용을 주기적으로 확인합니다.
• 시스템 레지스트리 ROOT 인증서를 읽거나, 만들거나, 수정하려고 시도하는 경우
• 호스트 장치에서 보안 및 백업 서비스 비활성화하기
• 잠재적으로 추가 인터넷 리소스에 연결할 수 있는 ActiveX 사용을 위해 도메인 허용 목록 추가
• 클립보드에서 데이터 읽기
• 스크린샷 기록하기
• 키 입력 캡처 및 검색

또한 파일에 포트를 열고 들어오는 연결을 수신 대기하는 백도어 기능이 포함되어 있다는 징후도 있습니다. 이 기능은 "wmControl.exe"라는 CertAppEnv 설치와 함께 제공되는 드라이버에 있습니다. 또한 애플리케이션 내에서 일반적으로 멀웨어와 관련된 안티 분석 기능도 관찰되었습니다.

Recorded Future 고객이 제공한 데이터에 따르면, '베이징 원패스' 애플리케이션을 사용하려면 '인증서 애플리케이션 환경' 소프트웨어를 설치해야 합니다. 이 소프트웨어는 중국 국영 기업인 베이징 인증 기관(北京数字认证股份有限公司)에서 개발한 것으로 보입니다. 원패스 PC 클라이언트를 설치하면 생성되는 후속 프로세스 트리는 그림 1에 자세히 나와 있으며, 인싯트 그룹 분석가들이 추가로 조사한 결과입니다.

편집자 주: 이 게시물은 보고서 전문에서 발췌한 것입니다. 전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.