在澳大利亚企业使用的中文税务软件中发现恶意软件

据网络安全研究人员称，在中国开展业务所需的税务软件一直在企业系统上安装恶意软件，并试图逃避检测。

Trustwave的团队一直在监控他们最初在其中一个客户的系统上发现的恶意软件活动。

研究员布莱恩·赫西(Brian Hussey)表示：“他们告诉我们，在中国开设业务后，他们当地的中资银行要求他们安装由Aisino Corporation金税部生产的名为智能税务的软件包，用于缴纳地方税。”

“当我们继续对税务软件进行调查时，我们发现它的功能与宣传的一样。

“但它也在系统上安装了一个隐藏的后门，使远程对手能够执行Windows命令或上传和执行任何二进制文件。”

增值税的缴纳是通过中国的金税项目进行监控的，该项目要求组织使用特定的软件来提交和跟踪发票。

在Aisino的税务软件中发现的名为“GoldenSpy”的恶意软件在智能税务软件安装两小时后下载到其主机系统。

安装了两个版本的恶意软件，它们将在引导时自动启动，以保持具有系统级权限的持久性。

Trustwave表示，它无法判断Aisino是否是该恶意软件的“活跃和/或愿意”参与者，但建议在中国运营的企业--尤其是那些使用Aisino智能税务软件的企业--应将该恶意软件视为威胁。

就在Trustwave上个月发布了关于GoldenSpy的原始报告后不久，研究人员发现Aisino程序下载了一个新的软件包，该软件包悄悄地从电脑上删除了GoldenSpy。

卸载程序设计为在删除自身之前删除GoldenSpy创建的所有注册表项、文件和文件夹-所有这些都是通过Windows命令行进行的，而不会提示用户操作。

在我们的测试中，这个GoldenSpy卸载程序将自动下载和执行，并有效地消除您环境中的GoldenSpy的直接威胁。

然而，由于此卸载程序的部署是从所谓的合法税务软件直接交付的，这不得不让智能税务的用户担心还可以以类似的方式下载和执行什么。

一周后，Trustwave发现同一卸载程序的新版本在安装了税务软件的系统上悄悄下载。

下载这个卸载程序的目的是相同的-删除任何GoldenSpy的痕迹-只是它是专门设计来逃避Trustwave Online之前共享的检测方法。

Trustwave关于GoldenSpy的帖子导致在推出GoldenSpy之前，Aisino的一家子公司分发的软件中发现了另一个恶意软件。

从2018年初到2019年7月，税务软件在机器上安装了一个可疑程序。

赫西说：“金税项目是中国的一项国家计划，影响到在中国运营的每一家企业。”

据我们所知，目前只有两家机构被授权生产金税软件，分别是Aisino和Baiwang。

这现在是Trustwave SpiderLabs发现的第二个Golden Tax软件包，它包含一个隐藏的后门，能够以系统级特权远程执行任意代码。“。

昵称为GoldenHelper的该程序包含三个不同的.dll文件，用于在目标计算机上删除taxver.exe有效负载之前绕过Windows用户帐户控制功能。

虽然研究人员还不能剖析Taxver可执行文件的样本，但其交付的各个方面使他们对.exe的合法性提出了质疑。

除了故意绕过Windows安全性之外，taxver.exe Dropper还会为其指定一个随机扩展名(例如.jpg、.gif、.dat、.rar或.zip)，这样网络嗅探器就不会检测到正在下载的可执行文件。

然后，随机程序会将.exe放入六个不同的Windows目录中的一个目录中-再次尝试隐藏安装程序，使其不会被检测到。

Trustwave建议“任何托管有可能向您的环境中添加网关的第三方应用程序的系统，都要使用严格的使用流程和程序进行隔离和严格监控”。