根據資安公司Recorded Future的研究報告,外國公司在中國必須使用的國家福利應用程式,一款名為 Beijing One Pass的應用程式被發現含間諜軟體的功能。目前,尚不清楚這些功能是否被故意添加到應用程式中的。但不可否認的是,該應用程式具有間諜軟體功能,可以秘密安裝在目標系統上。
Recorded Future公司旗下的研究部門Insikt Group,分析了客戶提供的Beijing One Pass應用程式,發現了幾個可疑的功能,其中一些包含通常在惡意軟體中發現的功能,例如:
*禁用主機設備上的安全和備份服務
*捕獲所有擊鍵
*錄製截圖
*從剪貼簿讀取數據
*嘗試讀取、建立或修改系統註冊表根憑證
*檔案運作時,會定期檢查與作業系統的人機互動
*允許列出 ActiveX 使用的網域,這將允許它連接到外部 Internet 資源
*在 Windows 啟動時自動運行(Autorun)的能力,以確保持久性
該可疑應用程式是由北京數字認證股份有限公司(BJCA)開發的,是一家在中國提供證書授權服務的國有公司。
目前尚不清楚這些功能是由破壞應用程式開發過程的駭客添加的,還是該機構有意添加的。研究人員表示,雖然它們的來源尚不清楚,但不可否認應用程式中存在間諜軟體功能。
國外的公司如果想在中國經營,就必須安裝它。因此,為防止企業機密的資料外洩露,Insikt Group 建議企業僅在不存儲機密數據的系統上運作該應用程式。
2020年6月,Trustwave的研究人員發現中國銀行要求國外企業下載的報稅軟體藏惡意後門程式Golden Spy。
有關情資:
“Beijing One Pass” Employee Benefits Software Exhibits Spyware Characteristics
Source: https://go.recordedfuture.com/hubfs/reports/cta-2021-0729.pdf