Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Täiustatud püsiv oht (APT) GoldenJackal Threat näitleja

GoldenJackal Threat näitleja

Aastaks Mezo aastal Täiustatud püsiv oht (APT)
Tõlgi:
Eesti

Vähemtuntud ohutegijat, keda tuntakse GoldenJackali nime all, on seostatud saatkondade ja valitsusasutuste vastu suunatud küberrünnakutega, mille eesmärk on kahe erineva kohandatud tööriistakomplekti kaudu õhuvahega süsteemid rikkuda.

Sihtmärkide hulka on kuulunud Valgevenes asuv Lõuna-Aasia saatkond ja valitsusorganisatsioon Euroopa Liidus (EL). GoldenJackali peamine eesmärk näib olevat tundliku teabe vargus, eriti kõrgetasemelistest süsteemidest, mis võivad jääda Interneti-ühenduseta.

GoldenJackal on olnud aktiivne aastaid

GoldenJackal tuvastati esmakordselt 2023. aasta mais, kui teadlased teatasid ohuklastri rünnakutest, mis on suunatud Lähis-Ida ja Lõuna-Aasia diplomaatiliste ja valitsusüksuste vastu. Grupi tegevust saab jälgida vähemalt 2019. aastani. Nende sissetungide tähelepanuväärne aspekt on JackalWormi nime all tuntud ussi juurutamine, mis võib nakatada ühendatud USB-draive ja tarnida trooja, mida nimetatakse JackalControliks.

Kuigi pole piisavalt tõendeid selle tegevuse lõplikuks seostamiseks konkreetse rahvusriigi ohuga, on mõningaid taktikalisi sarnasusi pahatahtlike tööriistadega, mida kasutati Turla ja MoustachedBounceri kampaaniates, millest viimane on keskendunud ka välisriikide saatkondadele Valgevenes.

GoldenJackali juurutatud mitu pahavara ohtu

Infoturbeeksperdid tuvastasid 2019. aasta augustis ja septembris Valgevenes asuvas Lõuna-Aasia saatkonnas GoldenJackaliga seotud artefakte ning 2021. aasta juulis leiti neid veel. Nimelt kasutas ohutegureid edukalt täielikult uuendatud tööriistakomplekti Euroopa Liidu valitsusüksuse vastu ajavahemikus 2022. aasta maist kuni märtsini. 2024. aasta.

Kahe erineva tööriistakomplekti, mis on spetsiaalselt loodud õhuvahega süsteemide ohustamiseks viie aasta jooksul, arendamise ja kasutuselevõtu keerukus rõhutab grupi leidlikkust.

Rünnak Lõuna-Aasia saatkonnale Valgevenes kasutas väidetavalt kolme erinevat pahavaraperekonda koos JackalControli, JackalSteali ja JackalWormiga:

  • GoldenDealer, mis hõlbustab täitmisfailide edastamist õhuvahega süsteemidesse ohustatud USB-draivide kaudu.
  • GoldenHowl, modulaarne tagauks, mis on võimeline faile varastama, ajastatud toiminguid looma, faile kaugserverisse ja sealt alla laadima ning SSH tunneli rajama.
  • GoldenRobo, failide kogumiseks ja andmete eksfiltreerimiseks loodud tööriist.

Rünnakutel kasutatav uus ähvardamisriistade komplekt

Seevastu nimetu valitsusorganisatsiooni vastu suunatud rünnakud Euroopas on kasutanud täiesti uut pahavara tööriistade komplekti, mis on peamiselt kirjutatud Go-sse. Need tööriistad on loodud failide kogumiseks USB-draividelt, pahavara levitamiseks USB-draivide kaudu, andmete väljafiltreerimiseks ja teatud masinaserverite kasutamiseks lavastusserveritena, et jagada kasulikku koormust teistele hostidele.

  • GoldenUsbCopy ja selle täiustatud järglane GoldenUsbGo, mis jälgivad USB-draive ja kopeerivad faile eksfiltreerimiseks.
  • GoldenAce, mida kasutatakse pahavara, sealhulgas JackalWormi kerge versiooni levitamiseks USB-draivide kaudu teistesse süsteemidesse (mitte tingimata õhuvahega).
  • GoldenBlacklist ja selle Pythoni variant GoldenPyBlacklist, mis töötleb huvipakkuvaid meilisõnumeid edaspidiseks eksfiltreerimiseks.
  • GoldenMailer, mis saadab kogutud andmed ründajatele e-posti teel.
  • GoldenDrive, mis laadib koristatud teabe üles Google Drive'i.

Praegu jääb ebaselgeks, kuidas GoldenJackal esialgu sihtkeskkondi ohustab. Kuid teadlased on varem väitnud, et Trooja Skype'i installijad ja rikutud Microsoft Wordi dokumendid võivad olla potentsiaalsed sisenemispunktid.

Kuidas GoldenJackali rünnakud edenevad?

GoldenDealer, mis on installitud Interneti-ühendusega arvutisse tundmatu meetodiga, aktiveerub USB-draivi sisestamisel. Selle toimingu tulemuseks on enda ja tundmatu ussikomponendi kopeerimine eemaldatavasse seadmesse. Arvatakse, et see tundmatu komponent käivitub, kui nakatunud USB-draiv on ühendatud õhuvahega süsteemiga, mille järel GoldenDealer kogub masina kohta teavet ja salvestab selle USB-draivi.

Kui USB-seade uuesti Interneti-ühendusega arvutisse sisestatakse, edastab GoldenDealer draivile salvestatud teabe välisserverisse, mis saadab seejärel tagasi õhuvahega süsteemis täitmiseks sobivad koormused. Pahavara vastutab ka allalaaditud käivitatavate failide USB-draivi kopeerimise eest. Viimases etapis, kui seade on uuesti õhuvahega masinaga ühendatud, käivitab GoldenDealer kopeeritud käivitatavad failid.

Lisaks töötab GoldenRobo Interneti-ühendusega arvutis, mis on loodud failide hankimiseks USB-draivist ja saatmiseks ründaja juhitavasse serverisse. See Go's välja töötatud pahavara on saanud oma nime legitiimsest Windowsi utiliidist, mida nimetatakse robocopyks ja mida see kasutab failide edastamiseks.

Siiani pole teadlased tuvastanud eraldi moodulit, mis vastutaks failide edastamise eest õhuvahega arvutist USB-draivi endale.

Võimalus juurutada kaks erinevat tööriistakomplekti õhuvahega võrkude ohustamiseks vaid viie aasta jooksul näitab, et GoldenJackal on keerukas ohutegija, kes mõistab oma sihtmärkide kasutatavaid võrgu segmenteerimisstrateegiaid.


Trendikas

Enim vaadatud

Hüpikaknad „Kui olete 18-aastane, puudutage valikut...

Võlts hoiatussõnumid
28,813
Kui olete 18-aastane, puudutage luba, on hüpikaknad, mis kuvatakse Interneti sirvimise ajal kasutaja ekraanile. Need hüpikaknad võivad olla kasutajatele üsna murettekitavad, kuna nad kutsuvad neid üles klõpsama nuppu "Luba", et jätkata praeguse veebisaidi kasutamist. Need hüpikaknad on seotud selliste soovimatute programmidega nagu reklaamvara, mis võib kasutajatele olulisi probleeme tekitada....
Laadimine...