GoldenJackal Actor d'amenaça

Un actor d'amenaces menys conegut conegut com GoldenJackal s'ha associat amb una sèrie d'atacs cibernètics dirigits a ambaixades i organismes governamentals, amb la intenció d'infringir els sistemes amb buit d'aire mitjançant dos conjunts d'eines personalitzades diferents.

Els objectius inclouen una ambaixada del sud d'Àsia ubicada a Bielorússia i una organització governamental dins de la Unió Europea (UE). L'objectiu principal de GoldenJackal sembla ser el robatori d'informació sensible, especialment de sistemes d'alt perfil que poden romandre desconnectats d'Internet.

GoldenJackal ha estat actiu durant anys

GoldenJackal es va identificar per primera vegada el maig de 2023, quan els investigadors van informar dels atacs del clúster d'amenaces dirigits a entitats diplomàtiques i governamentals a l'Orient Mitjà i el Sud d'Àsia. Les operacions del grup es remunten almenys al 2019. Un aspecte notable d'aquestes intrusions és el desplegament d'un cuc conegut com JackalWorm, que pot infectar les unitats USB connectades i lliurar un troià anomenat JackalControl.

Tot i que no hi ha prou evidència per associar definitivament aquestes activitats amb una amenaça particular de l'estat-nació, existeixen algunes similituds tàctiques amb les eines malicioses utilitzades en campanyes atribuïdes a Turla i MoustachedBouncer, l'última de les quals també s'ha centrat en les ambaixades estrangeres a Bielorússia.

Múltiples amenaces de programari maliciós desplegades per GoldenJackal

Els experts en seguretat de la informació van identificar artefactes relacionats amb GoldenJackal en una ambaixada del sud d'Àsia a Bielorússia durant l'agost i setembre de 2019, amb més descobriments el juliol de 2021. En particular, l'actor de l'amenaça va desplegar amb èxit un conjunt d'eines completament actualitzat contra una entitat governamental de la Unió Europea entre maig de 2022 i març de 2022. 2024.

La sofisticació demostrada en el desenvolupament i el desplegament de dos conjunts d'eines diferents dissenyats específicament per comprometre els sistemes amb buit d'aire durant cinc anys posa de manifest l'enginy del grup.

L'atac a l'ambaixada del sud d'Àsia a Bielorússia va utilitzar tres famílies de programari maliciós diferents juntament amb JackalControl, JackalSteal i JackalWorm:

• GoldenDealer, que facilita el lliurament d'executables a sistemes amb buit d'aire mitjançant unitats USB compromeses.
• GoldenHowl, una porta posterior modular capaç de robar fitxers, crear tasques programades, carregar i descarregar fitxers cap a i des d'un servidor remot i establir un túnel SSH.
• GoldenRobo, una eina dissenyada per a la recollida de fitxers i l'exfiltració de dades.

El nou conjunt d'eines amenaçadores utilitzades en atacs

En canvi, els atacs dirigits a l'organització governamental sense nom a Europa han emprat un conjunt completament nou d'eines de programari maliciós escrit principalment a Go. Aquestes eines estan dissenyades per recollir fitxers de unitats USB, propagar programari maliciós mitjançant unitats USB, extreure dades i utilitzar determinats servidors de màquines com a servidors de prova per distribuir càrregues útils a altres amfitrions:

• GoldenUsbCopy i el seu successor millorat, GoldenUsbGo, que supervisen les unitats USB i copien fitxers per a l'exfiltració.
• GoldenAce, que s'utilitza per difondre programari maliciós, inclosa una versió lleugera de JackalWorm, a altres sistemes (no necessàriament amb buit d'aire) mitjançant unitats USB.
• GoldenBlacklist i la seva variant de Python, GoldenPyBlacklist, que processa missatges de correu electrònic d'interès per a una futura exfiltració.
• GoldenMailer, que envia les dades recollides als atacants per correu electrònic.
• GoldenDrive, que penja informació recollida a Google Drive.

Actualment, encara no està clar com GoldenJackal compromet inicialment els entorns objectiu. Tanmateix, els investigadors han suggerit anteriorment que els instal·ladors de Skype troianitzats i els documents corruptes de Microsoft Word poden servir com a possibles punts d'entrada.

Com continuen els atacs de GoldenJackal?

GoldenDealer, un cop instal·lat en un ordinador connectat a Internet mitjançant un mètode no identificat, s'activa quan s'insereix una unitat USB. Aquesta acció provoca la còpia d'ell mateix i d'un component de cuc desconegut al dispositiu extraïble. Es creu que aquest component desconegut s'executa quan la unitat USB infectada està connectada a un sistema amb buit d'aire, després del qual GoldenDealer recopila informació sobre la màquina i la desa a la unitat USB.

Quan el dispositiu USB es torna a inserir a l'ordinador connectat a Internet, GoldenDealer transfereix la informació emmagatzemada a la unitat a un servidor extern, que després envia de tornada les càrregues útils adequades per ser executades al sistema amb buit d'aire. El programari maliciós també s'encarrega de copiar els executables descarregats a la unitat USB. En l'etapa final, quan el dispositiu es torna a connectar a la màquina amb buit d'aire, GoldenDealer executa els executables copiats.

A més, GoldenRobo s'executa a l'ordinador connectat a Internet, dissenyat per recuperar fitxers de la unitat USB i enviar-los al servidor controlat per l'atacant. Aquest programari maliciós, desenvolupat a Go, deriva el seu nom d'una utilitat legítima de Windows anomenada robocopy, que utilitza per realitzar les transferències de fitxers.

Fins ara, els investigadors no han identificat cap mòdul separat responsable de transferir fitxers des de l'ordinador amb buit d'aire a la pròpia unitat USB.

La capacitat de desplegar dos conjunts d'eines diferents per comprometre les xarxes amb buit d'aire en només cinc anys demostra que GoldenJackal és un actor d'amenaces sofisticat que entén les estratègies de segmentació de la xarxa que utilitzen els seus objectius.