Rabattilbud med flere licenser
Trusseldatabase Advanced Persistent Threat (APT) GoldenJackal Threat-skuespiller

GoldenJackal Threat-skuespiller

Med Mezo i Advanced Persistent Threat (APT)
Oversæt til:
Dansk

En mindre kendt trusselsaktør kendt som GoldenJackal er blevet forbundet med en række cyberangreb rettet mod ambassader og statslige organer med den hensigt at bryde luftgappede systemer gennem to forskellige brugerdefinerede værktøjssæt.

Målene har omfattet en sydasiatisk ambassade i Hviderusland og en regeringsorganisation inden for Den Europæiske Union (EU). GoldenJackals primære mål ser ud til at være tyveri af følsomme oplysninger, især fra højprofilerede systemer, der kan forblive afbrudt fra internettet.

GoldenJackal har været aktiv i årevis

GoldenJackal blev første gang identificeret i maj 2023, da forskere rapporterede trusselsklyngens angreb, der retter sig mod diplomatiske og statslige enheder i Mellemøsten og Sydasien. Koncernens aktiviteter kan spores tilbage til mindst 2019. Et bemærkelsesværdigt aspekt af disse indtrængen er indsættelsen af en orm kendt som JackalWorm, som kan inficere tilsluttede USB-drev og levere en trojan kaldet JackalControl.

Selvom der ikke er nok beviser til endeligt at forbinde disse aktiviteter med en bestemt nationalstatstrussel, eksisterer der nogle taktiske ligheder med ondsindede værktøjer brugt i kampagner tilskrevet Turla og MoustachedBouncer, hvoraf sidstnævnte også har fokuseret på udenlandske ambassader i Hviderusland.

Flere malware-trusler implementeret af GoldenJackal

Informationssikkerhedseksperter identificerede artefakter knyttet til GoldenJackal på en sydasiatisk ambassade i Hviderusland i løbet af august og september 2019, med yderligere opdagelser i juli 2021. Det er især lykkedes trusselsaktøren at implementere et fuldstændig opdateret værktøjssæt mod en EU-regeringsenhed mellem maj 2022 og marts 2024.

Den sofistikering, der er demonstreret ved at udvikle og implementere to forskellige værktøjssæt, der er specielt designet til at kompromittere luftgappede systemer over fem år, fremhæver gruppens opfindsomhed.

Angrebet på den sydasiatiske ambassade i Hviderusland brugte angiveligt tre forskellige malware-familier sammen med JackalControl, JackalSteal og JackalWorm:

  • GoldenDealer, som letter leveringen af eksekverbare filer til luftgappede systemer gennem kompromitterede USB-drev.
  • GoldenHowl, en modulær bagdør, der er i stand til filtyveri, oprettelse af planlagte opgaver, upload og download af filer til og fra en fjernserver og etablering af en SSH-tunnel.
  • GoldenRobo, et værktøj designet til filindsamling og dataeksfiltrering.

Det nye sæt truende værktøjer, der bruges i angreb

I modsætning hertil har angrebene rettet mod den unavngivne regeringsorganisation i Europa brugt en helt ny suite af malware-værktøjer, primært skrevet i Go. Disse værktøjer er designet til at indsamle filer fra USB-drev, udbrede malware via USB-drev, eksfiltrere data og bruge visse maskinservere som iscenesættelsesservere til at distribuere nyttelast til andre værter:

  • GoldenUsbCopy og dets forbedrede efterfølger, GoldenUsbGo, som overvåger USB-drev og kopierer filer til eksfiltrering.
  • GoldenAce, som bruges til at sprede malware, inklusive en letvægtsversion af JackalWorm, til andre systemer (ikke nødvendigvis luftgabte) gennem USB-drev.
  • GoldenBlacklist og dens Python-variant, GoldenPyBlacklist, som behandler e-mail-beskeder af interesse til fremtidig eksfiltration.
  • GoldenMailer, som sender de indsamlede data til angribere via e-mail.
  • GoldenDrive, som uploader indsamlet information til Google Drev.

I øjeblikket er det stadig uklart, hvordan GoldenJackal i første omgang kompromitterer målmiljøer. Forskere har dog tidligere foreslået, at trojaniserede Skype-installatører og korrupte Microsoft Word-dokumenter kan tjene som potentielle indgangspunkter.

Hvordan forløber GoldenJackal-angrebene?

GoldenDealer, når den først er installeret på en internetforbundet computer via en uidentificeret metode, aktiveres, når et USB-drev indsættes. Denne handling resulterer i kopiering af sig selv og en ukendt ormkomponent til den flytbare enhed. Det menes, at denne ukendte komponent udføres, når det inficerede USB-drev forbindes til et luftgapet system, hvorefter GoldenDealer indsamler oplysninger om maskinen og gemmer dem på USB-drevet.

Når USB-enheden genindsættes i den internetforbundne computer, overfører GoldenDealer de oplysninger, der er lagret på drevet, til en ekstern server, som derefter sender passende nyttelast tilbage, der skal udføres på det luftgappede system. Malwaren er også ansvarlig for at kopiere de downloadede eksekverbare filer til USB-drevet. I det sidste trin, når enheden er forbundet til den luftgappede maskine igen, udfører GoldenDealer de kopierede eksekverbare filer.

Derudover kører GoldenRobo på den internetforbundne pc, designet til at hente filer fra USB-drevet og sende dem til den angriberkontrollerede server. Denne malware, der er udviklet i Go, får sit navn fra et legitimt Windows-værktøj kaldet robocopy, som det bruger til at udføre filoverførslerne.

Indtil videre har forskere ikke identificeret et separat modul, der er ansvarligt for at overføre filer fra den luftgappede computer til selve USB-drevet.

Evnen til at implementere to forskellige værktøjssæt til at kompromittere luftgappede netværk inden for blot fem år viser, at GoldenJackal er en sofistikeret trusselsaktør, der forstår netværkssegmenteringsstrategierne, der anvendes af sine mål.


Trending

Mest sete

Indlæser...