قیمت چند مجوز تخفیف
پایگاه داده تهدید تهدید مداوم پیشرفته (APT) بازیگر تهدید شغال طلایی

بازیگر تهدید شغال طلایی

تا Mezo در تهدید مداوم پیشرفته (APT)
ترجمه به:
فارسی

یک عامل تهدید کمتر شناخته شده به نام GoldenJackal با مجموعه ای از حملات سایبری با هدف سفارت ها و ارگان های دولتی همراه بوده است که قصد دارند از طریق دو مجموعه ابزار سفارشی مجزا، سیستم های دارای شکاف هوا را نقض کنند.

این اهداف شامل یک سفارت آسیای جنوبی واقع در بلاروس و یک سازمان دولتی در اتحادیه اروپا (EU) است. به نظر می رسد هدف اصلی GoldenJackal سرقت اطلاعات حساس است، به ویژه از سیستم های با مشخصات بالا که ممکن است از اینترنت جدا باقی بمانند.

Golden Jackal سالهاست که فعال بوده است

GoldenJackal اولین بار در می 2023 شناسایی شد، زمانی که محققان حملات خوشه تهدید را گزارش کردند که نهادهای دیپلماتیک و دولتی در خاورمیانه و جنوب آسیا را هدف قرار می دهد. عملیات این گروه را می توان حداقل به سال 2019 ردیابی کرد. یکی از جنبه های قابل توجه این نفوذها، استقرار کرمی به نام JackalWorm است که می تواند درایوهای USB متصل را آلوده کرده و یک تروجان به نام JackalControl را تحویل دهد.

در حالی که شواهد کافی برای ارتباط قطعی این فعالیت‌ها با یک تهدید خاص دولت-ملت وجود ندارد، برخی شباهت‌های تاکتیکی با ابزارهای مخرب مورد استفاده در کمپین‌های منتسب به Turla و MoustachedBouncer وجود دارد، که مورد اخیر نیز بر سفارت‌خانه‌های خارجی در بلاروس متمرکز شده است.

تهدیدهای چندگانه بدافزاری که توسط GoldenJackal مستقر شده اند

کارشناسان امنیت اطلاعات مصنوعات مرتبط با GoldenJackal را در سفارت آسیای جنوبی در بلاروس در ماه های آگوست و سپتامبر 2019 شناسایی کردند و اکتشافات بیشتری در ژوئیه 2021 انجام شد. به ویژه، عامل تهدید با موفقیت یک ابزار کاملاً به روز شده را علیه یک نهاد دولتی اتحادیه اروپا بین ماه مه 2022 و مارس به کار برد. 2024.

پیچیدگی نشان داده شده در توسعه و استقرار دو مجموعه ابزار مجزا که به طور خاص برای به خطر انداختن سیستم‌های دارای شکاف هوا در طول پنج سال طراحی شده‌اند، توانمندی گروه را برجسته می‌کند.

گزارش شده است که حمله به سفارت جنوب آسیا در بلاروس از سه خانواده بدافزار مختلف در کنار JackalControl، JackalSteal و JackalWorm استفاده کرده است:

  • GoldenDealer، که تحویل فایل های اجرایی به سیستم های دارای شکاف هوا را از طریق درایوهای USB آسیب دیده تسهیل می کند.
  • GoldenHowl، یک درب پشتی ماژولار با قابلیت سرقت فایل، ایجاد وظایف برنامه ریزی شده، آپلود و دانلود فایل ها به و از یک سرور راه دور، و ایجاد یک تونل SSH.
  • GoldenRobo، ابزاری است که برای جمع آوری فایل و استخراج داده ها طراحی شده است.

مجموعه جدیدی از ابزارهای تهدید آمیز مورد استفاده در حملات

در مقابل، حملاتی که سازمان دولتی ناشناس در اروپا را هدف قرار می دهد، از مجموعه کاملاً جدیدی از ابزارهای بدافزار استفاده می کند که عمدتاً در Go نوشته شده است. این ابزارها برای جمع‌آوری فایل‌ها از درایوهای USB، انتشار بدافزار از طریق درایوهای USB، استخراج داده‌ها، و استفاده از سرورهای ماشینی خاص به‌عنوان سرورهای مرحله‌ای برای توزیع بارها به میزبان‌های دیگر طراحی شده‌اند:

  • GoldenUsbCopy و جانشین پیشرفته آن، GoldenUsbGo، که درایوهای USB را نظارت می کنند و فایل ها را برای استخراج کپی می کنند.
  • GoldenAce، که برای انتشار بدافزارها، از جمله نسخه سبک وزن JackalWorm، به سایر سیستم‌ها (نه لزوماً دارای شکاف هوا) از طریق درایوهای USB استفاده می‌شود.
  • GoldenBlacklist و نوع پایتون آن، GoldenPyBlacklist، که پیام‌های ایمیل مورد علاقه را برای استفاده در آینده پردازش می‌کند.
  • GoldenMailer که داده های جمع آوری شده را از طریق ایمیل برای مهاجمان ارسال می کند.
  • GoldenDrive که اطلاعات جمع آوری شده را در Google Drive آپلود می کند.

در حال حاضر، مشخص نیست که چگونه GoldenJackal در ابتدا محیط های هدف را به خطر می اندازد. با این حال، محققان قبلاً پیشنهاد کرده‌اند که نصب‌کننده‌های تروجانی اسکایپ و اسناد خراب مایکروسافت ورد ممکن است به عنوان نقاط ورودی بالقوه عمل کنند.

حملات شغال طلایی چگونه ادامه می یابد؟

GoldenDealer، پس از نصب بر روی یک کامپیوتر متصل به اینترنت از طریق یک روش ناشناس، با وارد کردن یک درایو USB فعال می شود. این عمل منجر به کپی شدن خود و یک جزء کرم ناشناخته بر روی دستگاه قابل جابجایی می شود. اعتقاد بر این است که این جزء ناشناخته زمانی اجرا می شود که درایو USB آلوده به یک سیستم دارای شکاف هوا متصل می شود، پس از آن GoldenDealer اطلاعات مربوط به دستگاه را جمع آوری می کند و آن را در درایو USB ذخیره می کند.

هنگامی که دستگاه USB مجدداً در رایانه متصل به اینترنت قرار می گیرد، GoldenDealer اطلاعات ذخیره شده در درایو را به یک سرور خارجی منتقل می کند، که سپس محموله های مناسب را برای اجرا بر روی سیستم دارای شکاف هوا ارسال می کند. بدافزار همچنین مسئول کپی کردن فایل های اجرایی دانلود شده در درایو USB است. در مرحله آخر، زمانی که دستگاه دوباره به دستگاه دارای شکاف هوا متصل می شود، GoldenDealer فایل های اجرایی کپی شده را اجرا می کند.

علاوه بر این، GoldenRobo روی رایانه شخصی متصل به اینترنت اجرا می‌شود که برای بازیابی فایل‌ها از درایو USB و ارسال آن‌ها به سرور تحت کنترل مهاجم طراحی شده است. این بدافزار که در Go توسعه یافته است، نام خود را از یک ابزار قانونی ویندوز به نام robocopy گرفته است که از آن برای انجام انتقال فایل استفاده می کند.

تاکنون، محققان ماژول جداگانه‌ای را که مسئول انتقال فایل‌ها از رایانه با شکاف هوا به خود درایو USB باشد، شناسایی نکرده‌اند.

توانایی استقرار دو مجموعه ابزار مجزا برای به خطر انداختن شبکه‌های با شکاف هوا در عرض تنها پنج سال نشان می‌دهد که GoldenJackal یک عامل تهدید پیچیده است که استراتژی‌های تقسیم‌بندی شبکه را که توسط اهدافش استفاده می‌شود، درک می‌کند.

پرطرفدار

نمونه هایی از کلاهبرداری ایمیل محصول

فیشینگ, هرزنامه
کلاهبرداران در تلاش‌های خود برای فریب دادن کاربران ناآگاه اینترنت خلاق‌تر می‌شوند. یکی از رایج‌ترین اشکال حمله، کلاهبرداری مبتنی بر ایمیل است، که در آن مجرمان سایبری پیام‌های قانع‌کننده‌ای برای فریب گیرندگان برای افشای اطلاعات حساس ایجاد می‌کنند. تاکتیک‌هایی مانند کمپین ایمیل «نمونه‌های محصول» اهمیت حفظ هوشیاری هنگام مرور وب یا تعامل با ارتباطات ناخواسته را برجسته می‌کند. شناخت این تهدیدها و...

پربیننده ترین

پاپ‌آپ‌های «اگر ۱۸ ساله هستید روی اجازه ضربه بزنید».

پیام های هشدار جعلی
28,813
پاپ‌آپ‌های «اگر ۱۸ ساله هستید، اجازه دهید ضربه بزنید» نوعی از تبلیغات پاپ‌آپ است که هنگام مرور اینترنت روی صفحه نمایش کاربر ظاهر می‌شود. این پاپ‌آپ‌ها می‌توانند برای کاربران کاملاً هشداردهنده باشند زیرا از آن‌ها می‌خواهند برای ادامه استفاده از وب‌سایتی که در حال حاضر در آن هستند، روی دکمه «مجاز» کلیک کنند. این پاپ آپ ها با برنامه های ناخواسته ای مانند ابزارهای تبلیغاتی مزاحم مرتبط هستند که می...
بارگذاری...