Slevová nabídka pro více licencí
Databáze hrozeb Pokročilá trvalá hrozba (APT) GoldenJackal herec hrozeb

GoldenJackal herec hrozeb

V roce Mezo v roce Pokročilá trvalá hrozba (APT)
Přeložit do:
Čeština

Méně známý aktér hrozeb známý jako GoldenJackal byl spojován se sérií kybernetických útoků zaměřených na ambasády a vládní orgány se záměrem prolomit systémy se vzduchovou mezerou prostřednictvím dvou odlišných vlastních sad nástrojů.

Mezi cíle patří jihoasijské velvyslanectví v Bělorusku a vládní organizace v rámci Evropské unie (EU). Zdá se, že hlavním cílem GoldenJackal je krádež citlivých informací, zejména z vysoce profilovaných systémů, které mohou zůstat odpojeny od internetu.

GoldenJackal je aktivní již léta

GoldenJackal byl poprvé identifikován v květnu 2023, kdy výzkumníci ohlásili útoky skupiny hrozeb, které se zaměřují na diplomatické a vládní subjekty na Středním východě a v jižní Asii. Operace skupiny lze vysledovat minimálně do roku 2019. Pozoruhodným aspektem těchto průniků je nasazení červa známého jako JackalWorm, který dokáže infikovat připojené USB disky a doručit trojského koně označovaného jako JackalControl.

I když neexistuje dostatek důkazů, které by definitivně spojily tyto aktivity s konkrétní hrozbou národního státu, existují určité taktické podobnosti se škodlivými nástroji používanými v kampaních připisovaných Turle a MoustachedBouncer, z nichž druhá se také zaměřila na zahraniční ambasády v Bělorusku.

GoldenJackal nasadil několik malwarových hrozeb

Odborníci na informační bezpečnost identifikovali artefakty spojené s GoldenJackal na jihoasijské ambasádě v Bělorusku během srpna a září 2019, s dalšími objevy v červenci 2021. Zejména aktér hrozby úspěšně nasadil kompletně aktualizovanou sadu nástrojů proti vládnímu subjektu Evropské unie mezi květnem 2022 a březnem 2024.

Sofistikovanost prokázaná při vývoji a nasazení dvou odlišných sad nástrojů speciálně navržených pro kompromitování systémů se vzduchovou mezerou po dobu pěti let zdůrazňuje vynalézavost skupiny.

Útok na jihoasijskou ambasádu v Bělorusku údajně využil tři různé rodiny malwaru vedle JackalControl, JackalSteal a JackalWorm:

  • GoldenDealer, který usnadňuje doručování spustitelných souborů do systémů se vzduchovou mezerou prostřednictvím kompromitovaných jednotek USB.
  • GoldenHowl, modulární zadní vrátka schopná krádeže souborů, vytváření naplánovaných úloh, nahrávání a stahování souborů na a ze vzdáleného serveru a vytvoření tunelu SSH.
  • GoldenRobo, nástroj určený pro sběr souborů a exfiltraci dat.

Nová sada hrozivých nástrojů používaných při útocích

Naproti tomu útoky zaměřené na nejmenovanou vládní organizaci v Evropě použily zcela novou sadu malwarových nástrojů primárně napsaných v Go. Tyto nástroje jsou navrženy tak, aby shromažďovaly soubory z jednotek USB, šířily malware prostřednictvím jednotek USB, exfiltrovaly data a využívaly určité strojové servery jako předváděcí servery k distribuci dat na jiné hostitele:

  • GoldenUsbCopy a jeho vylepšený nástupce GoldenUsbGo, které monitorují USB disky a kopírují soubory pro exfiltraci.
  • GoldenAce, který se používá k šíření malwaru, včetně odlehčené verze JackalWorm, do jiných systémů (ne nutně vzduchových mezer) prostřednictvím USB disků.
  • GoldenBlacklist a jeho varianta Pythonu, GoldenPyBlacklist, která zpracovává e-mailové zprávy, které vás zajímají, pro budoucí exfiltraci.
  • GoldenMailer, který posílá sklizená data útočníkům e-mailem.
  • GoldenDrive, který nahrává sklizené informace na Disk Google.

V současné době zůstává nejasné, jak GoldenJackal zpočátku kompromituje cílová prostředí. Výzkumníci však již dříve navrhli, že jako potenciální vstupní body mohou sloužit trojanizované instalátory Skype a poškozené dokumenty Microsoft Word.

Jak útoky GoldenJackal pokračují?

GoldenDealer, jakmile je nainstalován do počítače připojeného k internetu pomocí neidentifikované metody, se aktivuje po vložení jednotky USB. Tato akce má za následek zkopírování sebe sama a neznámé součásti červa na vyměnitelné zařízení. Předpokládá se, že tato neznámá komponenta se spustí, když je infikovaný USB disk připojen k systému se vzduchovou mezerou, načež GoldenDealer shromažďuje informace o stroji a ukládá je na USB disk.

Když je USB zařízení znovu zasunuto do počítače připojeného k internetu, GoldenDealer přenese informace uložené na disku na externí server, který pak odešle zpět vhodná data, která se mají spustit na systému se vzduchovou mezerou. Malware je také zodpovědný za kopírování stažených spustitelných souborů na USB disk. V konečné fázi, když je zařízení znovu připojeno ke stroji se vzduchovou mezerou, GoldenDealer provede zkopírované spustitelné soubory.

GoldenRobo navíc běží na počítači připojeném k internetu a je určen k načítání souborů z jednotky USB a jejich odesílání na server ovládaný útočníkem. Tento malware, vyvinutý v Go, odvozuje svůj název od legitimního nástroje Windows zvaného robocopy, který používá k přenosu souborů.

Vědci zatím neidentifikovali samostatný modul zodpovědný za přenos souborů z počítače se vzduchovou mezerou na samotný USB disk.

Schopnost nasadit dvě různé sady nástrojů pro kompromitování sítí s nedostatkem vzduchu během pouhých pěti let dokazuje, že GoldenJackal je sofistikovaným aktérem hrozeb, který rozumí strategiím segmentace sítě používaným jeho cíli.


Trendy

Ukázky podvodného e-mailu s produktem

Phishing, Spam
Podvodníci jsou stále kreativnější ve snaze oklamat nic netušící uživatele internetu. Jednou z nejrozšířenějších forem útoku jsou podvody založené na e-mailech, kdy kyberzločinci vytvářejí přesvědčivé zprávy, aby oklamali příjemce, aby vyzradili citlivé informace. Taktiky jako e-mailová kampaň „Samples Of The Product“ zdůrazňují důležitost zachování ostražitosti při procházení webu nebo při...

Nejvíce shlédnuto

Načítání...