GoldenJackal Threat актьор

По-малко известен актьор в заплаха, известен като GoldenJackal, е свързан с поредица от кибератаки, насочени към посолства и правителствени органи, с намерението да се пробият системи с въздушна междина чрез два различни персонализирани набора от инструменти.

Целите са включвали посолство на Южна Азия, разположено в Беларус, и правителствена организация в Европейския съюз (ЕС). Основната цел на GoldenJackal изглежда е кражбата на чувствителна информация, особено от системи с висок профил, които може да останат изключени от интернет.

GoldenJackal е активен от години

GoldenJackal беше идентифициран за първи път през май 2023 г., когато изследователите съобщиха за атаките на клъстера на заплахи, насочени към дипломатически и правителствени организации в Близкия изток и Южна Азия. Операциите на групата могат да бъдат проследени най-малко до 2019 г. Забележителен аспект на тези прониквания е внедряването на червей, известен като JackalWorm, който може да зарази свързани USB устройства и да достави троянски кон, наричан JackalControl.

Въпреки че няма достатъчно доказателства, за да се свържат окончателно тези дейности с конкретна заплаха за национална държава, съществуват някои тактически прилики със злонамерени инструменти, използвани в кампании, приписвани на Turla и MoustachedBouncer, последната от които също се фокусира върху чуждестранни посолства в Беларус.

Множество заплахи за зловреден софтуер, внедрени от GoldenJackal

Експертите по информационна сигурност идентифицираха артефакти, свързани с GoldenJackal, в южноазиатско посолство в Беларус през август и септември 2019 г., с допълнителни открития през юли 2021 г. По-специално, заплахата успешно внедри напълно актуализиран набор от инструменти срещу правителствена структура на Европейския съюз между май 2022 г. и март 2024 г.

Сложността, демонстрирана при разработването и внедряването на два различни комплекта инструменти, специално проектирани за компрометиране на системи с въздушна междина в продължение на пет години, подчертава изобретателността на групата.

Съобщава се, че атаката срещу посолството на Южна Азия в Беларус е използвала три различни семейства зловреден софтуер заедно с JackalControl, JackalSteal и JackalWorm:

• GoldenDealer, който улеснява доставката на изпълними файлове до безвъздушни системи чрез компрометирани USB устройства.
• GoldenHowl, модулна задна врата, способна да краде файлове, да създава планирани задачи, да качва и изтегля файлове към и от отдалечен сървър и да създава SSH тунел.
• GoldenRobo, инструмент, предназначен за събиране на файлове и ексфилтрация на данни.

Новият набор от заплашителни инструменти, използвани при атаки

За разлика от това, атаките, насочени към неназованата правителствена организация в Европа, са използвали напълно нов набор от инструменти за зловреден софтуер, написани предимно на Go. Тези инструменти са предназначени да събират файлове от USB устройства, да разпространяват злонамерен софтуер чрез USB устройства, да ексфилтрират данни и да използват определени машинни сървъри като промежутъчни сървъри за разпространение на полезни товари към други хостове:

• GoldenUsbCopy и неговия подобрен приемник, GoldenUsbGo, които наблюдават USB устройства и копират файлове за ексфилтрация.
• GoldenAce, който се използва за разпространение на злонамерен софтуер, включително олекотена версия на JackalWorm, до други системи (не непременно безвъздушни) чрез USB устройства.
• GoldenBlacklist и неговия вариант на Python, GoldenPyBlacklist, който обработва имейл съобщения, представляващи интерес за бъдещо ексфилтриране.
• GoldenMailer, който изпраща събраните данни на нападателите по имейл.
• GoldenDrive, който качва събраната информация в Google Drive.

В момента остава неясно как GoldenJackal първоначално компрометира целевите среди. Изследователите обаче по-рано предполагаха, че троянизираните инсталатори на Skype и повредените документи на Microsoft Word могат да служат като потенциални входни точки.

Как протичат атаките на GoldenJackal?

GoldenDealer, веднъж инсталиран на компютър, свързан с интернет чрез неидентифициран метод, се активира, когато се постави USB устройство. Това действие води до копиране на себе си и на неизвестен компонент на червея върху сменяемото устройство. Смята се, че този неизвестен компонент се изпълнява, когато заразеното USB устройство е свързано към система с въздушна междина, след което GoldenDealer събира информация за машината и я записва на USB устройството.

Когато USB устройството се постави отново в свързания с интернет компютър, GoldenDealer прехвърля информацията, съхранена на устройството, към външен сървър, който след това изпраща обратно подходящи полезни натоварвания, които да бъдат изпълнени на системата с въздушна междина. Зловреден софтуер също е отговорен за копирането на изтеглените изпълними файлове на USB устройството. В последния етап, когато устройството отново е свързано към машината с въздушна междина, GoldenDealer изпълнява копираните изпълними файлове.

Освен това GoldenRobo работи на компютър, свързан с интернет, предназначен да извлича файлове от USB устройството и да ги изпраща до сървъра, контролиран от нападателя. Този злонамерен софтуер, разработен в Go, получава името си от легитимна помощна програма на Windows, наречена robocopy, която използва за извършване на прехвърляне на файлове.

Досега изследователите не са идентифицирали отделен модул, отговорен за прехвърлянето на файлове от компютъра с въздушна междина към самото USB устройство.

Възможността за внедряване на два различни набора инструменти за компрометиране на мрежи с въздушна пролука в рамките на само пет години демонстрира, че GoldenJackal е усъвършенстван участник в заплахи, който разбира стратегиите за сегментиране на мрежата, използвани от неговите цели.