Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Προηγμένη επίμονη απειλή (APT) GoldenJackal Threat Actor

GoldenJackal Threat Actor

Μέχρι το Mezo το Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:
Ελληνικά

Ένας λιγότερο γνωστός παράγοντας απειλών, γνωστός ως GoldenJackal, έχει συσχετιστεί με μια σειρά κυβερνοεπιθέσεων που στοχεύουν σε πρεσβείες και κυβερνητικούς φορείς, με σκοπό την παραβίαση συστημάτων με διάκενο αέρα μέσω δύο ξεχωριστών προσαρμοσμένων εργαλείων.

Στους στόχους περιλαμβάνεται μια πρεσβεία της Νότιας Ασίας που βρίσκεται στη Λευκορωσία και ένας κυβερνητικός οργανισμός εντός της Ευρωπαϊκής Ένωσης (ΕΕ). Ο πρωταρχικός στόχος του GoldenJackal φαίνεται να είναι η κλοπή ευαίσθητων πληροφοριών, ιδιαίτερα από συστήματα υψηλού προφίλ που ενδέχεται να παραμένουν αποσυνδεδεμένα από το Διαδίκτυο.

Το GoldenJackal είναι ενεργό εδώ και χρόνια

Το GoldenJackal εντοπίστηκε για πρώτη φορά τον Μάιο του 2023, όταν οι ερευνητές ανέφεραν επιθέσεις του συμπλέγματος απειλών που στοχεύουν διπλωματικές και κυβερνητικές οντότητες στη Μέση Ανατολή και τη Νότια Ασία. Οι λειτουργίες του ομίλου χρονολογούνται τουλάχιστον από το 2019. Μια αξιοσημείωτη πτυχή αυτών των εισβολών είναι η ανάπτυξη ενός τύπου worm γνωστού ως JackalWorm, το οποίο μπορεί να μολύνει συνδεδεμένες μονάδες USB και να παραδίδει έναν trojan που αναφέρεται ως JackalControl.

Αν και δεν υπάρχουν αρκετά στοιχεία που να συσχετίζουν οριστικά αυτές τις δραστηριότητες με μια συγκεκριμένη απειλή έθνους-κράτους, υπάρχουν ορισμένες τακτικές ομοιότητες με κακόβουλα εργαλεία που χρησιμοποιούνται σε εκστρατείες που αποδίδονται στους Turla και MoustachedBouncer, ο τελευταίος από τους οποίους έχει επίσης επικεντρωθεί σε ξένες πρεσβείες στη Λευκορωσία.

Πολλαπλές απειλές κακόβουλου λογισμικού που αναπτύσσονται από το GoldenJackal

Εμπειρογνώμονες ασφάλειας πληροφοριών εντόπισαν αντικείμενα που συνδέονται με το GoldenJackal σε μια πρεσβεία της Νότιας Ασίας στη Λευκορωσία τον Αύγουστο και τον Σεπτέμβριο του 2019, με περαιτέρω ανακαλύψεις τον Ιούλιο του 2021. Συγκεκριμένα, ο παράγοντας απειλών ανέπτυξε επιτυχώς ένα πλήρως ενημερωμένο σύνολο εργαλείων εναντίον μιας κυβερνητικής οντότητας της Ευρωπαϊκής Ένωσης μεταξύ Μαΐου 2022 και Μαρτίου 2024.

Η πολυπλοκότητα που επιδεικνύεται στην ανάπτυξη και ανάπτυξη δύο ξεχωριστών εργαλείων που έχουν σχεδιαστεί ειδικά για να διακυβεύουν συστήματα με διάκενο αέρα για πέντε χρόνια υπογραμμίζει την επινοητικότητα του ομίλου.

Η επίθεση στην πρεσβεία της Νότιας Ασίας στη Λευκορωσία φέρεται να χρησιμοποίησε τρεις διαφορετικές οικογένειες κακόβουλου λογισμικού μαζί με τους JackalControl, JackalSteal και JackalWorm:

  • GoldenDealer, το οποίο διευκολύνει την παράδοση εκτελέσιμων σε συστήματα με διάκενο αέρα μέσω παραβιασμένων μονάδων USB.
  • GoldenHowl, ένα αρθρωτό backdoor ικανό για κλοπή αρχείων, δημιουργία προγραμματισμένων εργασιών, αποστολή και λήψη αρχείων από και προς έναν απομακρυσμένο διακομιστή και δημιουργία σήραγγας SSH.
  • GoldenRobo, ένα εργαλείο σχεδιασμένο για συλλογή αρχείων και εξαγωγή δεδομένων.

Το νέο σύνολο απειλητικών εργαλείων που χρησιμοποιούνται στις επιθέσεις

Αντίθετα, οι επιθέσεις που στοχεύουν τον ανώνυμο κυβερνητικό οργανισμό στην Ευρώπη έχουν χρησιμοποιήσει μια εντελώς νέα σουίτα εργαλείων κακόβουλου λογισμικού που έχουν γραφτεί κυρίως στο Go. Αυτά τα εργαλεία έχουν σχεδιαστεί για τη συλλογή αρχείων από μονάδες USB, τη διάδοση κακόβουλου λογισμικού μέσω μονάδων USB, την εξαγωγή δεδομένων και τη χρήση ορισμένων διακομιστών μηχανημάτων ως διακομιστές σταδιοποίησης για τη διανομή ωφέλιμων φορτίων σε άλλους κεντρικούς υπολογιστές:

  • Το GoldenUsbCopy και ο βελτιωμένος διάδοχός του, το GoldenUsbGo, που παρακολουθούν μονάδες USB και αντιγράφουν αρχεία για εξαγωγή.
  • GoldenAce, το οποίο χρησιμοποιείται για τη διάδοση κακόβουλου λογισμικού, συμπεριλαμβανομένης μιας ελαφριάς έκδοσης του JackalWorm, σε άλλα συστήματα (όχι απαραίτητα με διάκενο αέρα) μέσω μονάδων USB.
  • Η GoldenBlacklist και η παραλλαγή της Python, η GoldenPyBlacklist, η οποία επεξεργάζεται μηνύματα ηλεκτρονικού ταχυδρομείου που ενδιαφέρουν για μελλοντική διείσδυση.
  • GoldenMailer, το οποίο στέλνει τα δεδομένα που συλλέγονται στους εισβολείς μέσω email.
  • GoldenDrive, το οποίο ανεβάζει πληροφορίες συλλογής στο Google Drive.

Επί του παρόντος, παραμένει ασαφές πώς το GoldenJackal συμβιβάζει αρχικά τα περιβάλλοντα-στόχους. Ωστόσο, οι ερευνητές είχαν προηγουμένως προτείνει ότι τα προγράμματα εγκατάστασης Skype με trojanized και τα κατεστραμμένα έγγραφα του Microsoft Word μπορεί να χρησιμεύσουν ως πιθανά σημεία εισόδου.

Πώς συνεχίζονται οι επιθέσεις του GoldenJackal;

Το GoldenDealer, μόλις εγκατασταθεί σε υπολογιστή συνδεδεμένο στο Διαδίκτυο μέσω μιας άγνωστης μεθόδου, ενεργοποιείται όταν τοποθετηθεί μια μονάδα USB. Αυτή η ενέργεια έχει ως αποτέλεσμα την αντιγραφή της ίδιας και ενός άγνωστου στοιχείου τύπου worm στην αφαιρούμενη συσκευή. Πιστεύεται ότι αυτό το άγνωστο στοιχείο εκτελείται όταν η μολυσμένη μονάδα USB συνδέεται σε ένα σύστημα με διάκενο αέρα, μετά το οποίο η GoldenDealer συλλέγει πληροφορίες για το μηχάνημα και τις αποθηκεύει στη μονάδα USB.

Όταν η συσκευή USB επανατοποθετηθεί στον υπολογιστή που είναι συνδεδεμένος στο Διαδίκτυο, το GoldenDealer μεταφέρει τις πληροφορίες που είναι αποθηκευμένες στη μονάδα σε έναν εξωτερικό διακομιστή, ο οποίος στη συνέχεια στέλνει πίσω κατάλληλα ωφέλιμα φορτία που θα εκτελεστούν στο σύστημα με διάκενο αέρα. Το κακόβουλο λογισμικό είναι επίσης υπεύθυνο για την αντιγραφή των ληφθέντων εκτελέσιμων στη μονάδα USB. Στο τελικό στάδιο, όταν η συσκευή συνδεθεί ξανά στο μηχάνημα με διάκενο αέρα, το GoldenDealer εκτελεί τα εκτελέσιμα που έχουν αντιγραφεί.

Επιπλέον, το GoldenRobo εκτελείται σε υπολογιστή που είναι συνδεδεμένος στο Διαδίκτυο, σχεδιασμένος να ανακτά αρχεία από τη μονάδα USB και να τα στέλνει στον διακομιστή που ελέγχεται από τους εισβολείς. Αυτό το κακόβουλο λογισμικό, που αναπτύχθηκε στο Go, αντλεί το όνομά του από ένα νόμιμο βοηθητικό πρόγραμμα των Windows που ονομάζεται robocopy, το οποίο χρησιμοποιεί για να πραγματοποιήσει τις μεταφορές αρχείων.

Μέχρι στιγμής, οι ερευνητές δεν έχουν εντοπίσει ξεχωριστή μονάδα υπεύθυνη για τη μεταφορά αρχείων από τον υπολογιστή με διάκενο αέρα στην ίδια τη μονάδα USB.

Η ικανότητα ανάπτυξης δύο διακριτών εργαλείων για την παραβίαση δικτύων με διάκενο αέρα μέσα σε μόλις πέντε χρόνια καταδεικνύει ότι το GoldenJackal είναι ένας εξελιγμένος παράγοντας απειλών που κατανοεί τις στρατηγικές τμηματοποίησης δικτύου που χρησιμοποιούνται από τους στόχους του.


Τάσεις

Δείγματα της απάτης μέσω email του προϊόντος

Phishing, Ανεπιθύμητη αλληλογραφία
Οι απατεώνες γίνονται όλο και πιο δημιουργικοί στις προσπάθειές τους να εξαπατήσουν ανυποψίαστους χρήστες του Διαδικτύου. Μία από τις πιο διαδεδομένες μορφές επίθεσης είναι η απάτη μέσω email, όπου οι εγκληματίες του κυβερνοχώρου δημιουργούν πειστικά μηνύματα για να ξεγελάσουν τους παραλήπτες ώστε να αποκαλύψουν ευαίσθητες πληροφορίες. Τακτικές όπως η καμπάνια ηλεκτρονικού ταχυδρομείου...

Περισσότερες εμφανίσεις

Αναδυόμενα παράθυρα "Εάν είστε 18, πατήστε...

Ψεύτικα προειδοποιητικά μηνύματα
28,813
Τα αναδυόμενα παράθυρα «Εάν είστε 18 ετών Πατήστε Επιτρέψτε» είναι ένας τύπος αναδυόμενης διαφήμισης που εμφανίζεται στην οθόνη ενός χρήστη κατά την περιήγηση στο Διαδίκτυο. Αυτά τα αναδυόμενα παράθυρα μπορεί να είναι αρκετά ανησυχητικά για τους χρήστες, καθώς τους προτρέπουν να κάνουν κλικ στο κουμπί "να επιτρέπεται" για να συνεχίσουν να χρησιμοποιούν τον ιστότοπο στον οποίο βρίσκονται αυτήν...
Φόρτωση...