Ponuda s popustom na više licenci
Baza prijetnji Napredna trajna prijetnja (APT) GoldenJackal Threat Actor

GoldenJackal Threat Actor

Do Mezo. Napredna trajna prijetnja (APT). godine
Prevedi na:
Hrvatski

Manje poznati akter prijetnje poznat kao GoldenJackal povezivan je s nizom kibernetičkih napada usmjerenih na veleposlanstva i vladina tijela, s namjerom proboja u sustave bez zraka putem dva različita prilagođena skupa alata.

Mete su uključivale južnoazijsko veleposlanstvo u Bjelorusiji i vladinu organizaciju unutar Europske unije (EU). Čini se da je primarni cilj GoldenJackala krađa osjetljivih informacija, posebice iz sustava visokog profila koji mogu ostati isključeni s interneta.

GoldenJackal je aktivan godinama

GoldenJackal je prvi put identificiran u svibnju 2023., kada su istraživači izvijestili o napadima skupine prijetnji koji ciljaju diplomatske i vladine entitete na Bliskom istoku i u južnoj Aziji. Operacije grupe mogu se pratiti barem do 2019. Značajan aspekt ovih upada je implementacija crva poznatog kao JackalWorm, koji može zaraziti povezane USB pogone i isporučiti trojanca koji se naziva JackalControl.

Iako nema dovoljno dokaza da se te aktivnosti definitivno povežu s određenom prijetnjom nacionalnoj državi, postoje neke taktičke sličnosti sa zlonamjernim alatima korištenim u kampanjama pripisanim Turli i MoustachedBounceru, od kojih se potonji također usredotočio na strana veleposlanstva u Bjelorusiji.

Višestruke prijetnje od zlonamjernog softvera koje postavlja GoldenJackal

Stručnjaci za informacijsku sigurnost identificirali su artefakte povezane s GoldenJackalom u južnoazijskom veleposlanstvu u Bjelorusiji tijekom kolovoza i rujna 2019., s daljnjim otkrićima u srpnju 2021. Prijetnja je uspješno primijenila potpuno ažurirani skup alata protiv tijela vlade Europske unije između svibnja 2022. i ožujka 2024.

Sofisticiranost pokazana u razvoju i implementaciji dvaju različitih alata posebno dizajniranih za kompromitiranje sustava sa zračnim otvorom tijekom pet godina naglašava snalažljivost grupe.

U napadu na južnoazijsko veleposlanstvo u Bjelorusiji navodno su korištene tri različite obitelji malwarea uz JackalControl, JackalSteal i JackalWorm:

  • GoldenDealer, koji olakšava isporuku izvršnih datoteka u sustave bez zraka putem kompromitiranih USB pogona.
  • GoldenHowl, modularni backdoor sposoban za krađu datoteka, kreiranje zakazanih zadataka, učitavanje i preuzimanje datoteka na i s udaljenog poslužitelja i uspostavljanje SSH tunela.
  • GoldenRobo, alat dizajniran za prikupljanje datoteka i eksfiltraciju podataka.

Novi skup prijetećih alata koji se koriste u napadima

Nasuprot tome, napadi usmjereni na neimenovanu vladinu organizaciju u Europi koristili su potpuno novi paket alata za zlonamjerni softver prvenstveno napisan u Gou. Ovi su alati dizajnirani za prikupljanje datoteka s USB pogona, širenje zlonamjernog softvera putem USB pogona, eksfiltraciju podataka i korištenje određenih poslužitelja strojeva kao poslužitelja za prikazivanje za distribuciju korisnih sadržaja drugim hostovima:

  • GoldenUsbCopy i njegov poboljšani nasljednik, GoldenUsbGo, koji nadziru USB pogone i kopiraju datoteke radi eksfiltracije.
  • GoldenAce, koji se koristi za širenje zlonamjernog softvera, uključujući laganu verziju JackalWorma, na druge sustave (ne nužno sa zračnim otvorom) putem USB pogona.
  • GoldenBlacklist i njegova Python varijanta, GoldenPyBlacklist, koja obrađuje poruke e-pošte od interesa za buduću eksfiltraciju.
  • GoldenMailer, koji prikupljene podatke šalje napadačima putem e-pošte.
  • GoldenDrive, koji učitava prikupljene informacije na Google Drive.

Trenutačno ostaje nejasno kako GoldenJackal inicijalno ugrožava ciljana okruženja. Međutim, istraživači su ranije sugerirali da trojanizirani programi za instalaciju Skypea i oštećeni Microsoft Word dokumenti mogu poslužiti kao potencijalne ulazne točke.

Kako se nastavljaju napadi GoldenJackala?

GoldenDealer, nakon što se instalira na računalo povezano s internetom putem neidentificirane metode, aktivira se kada se umetne USB pogon. Ova radnja rezultira kopiranjem sebe i nepoznate komponente crva na prijenosni uređaj. Vjeruje se da se ova nepoznata komponenta pokreće kada se zaraženi USB pogon spoji na sustav sa zračnim otvorom, nakon čega GoldenDealer prikuplja informacije o stroju i sprema ih na USB pogon.

Kada se USB uređaj ponovno umetne u računalo povezano s Internetom, GoldenDealer prenosi informacije pohranjene na disku na vanjski poslužitelj, koji zatim šalje natrag odgovarajuće korisni sadržaje koji se izvršavaju na sustavu s zračnim otvorom. Malware je također odgovoran za kopiranje preuzetih izvršnih datoteka na USB pogon. U završnoj fazi, kada se uređaj ponovno spoji na stroj sa zračnim otvorom, GoldenDealer izvršava kopirane izvršne datoteke.

Uz to, GoldenRobo radi na računalu povezanom s internetom, dizajniranom za dohvaćanje datoteka s USB pogona i njihovo slanje poslužitelju kojim upravlja napadač. Ovaj zlonamjerni softver, razvijen u Gou, svoje je ime dobio po legitimnom Windows uslužnom programu pod nazivom robocopy, koji koristi za izvođenje prijenosa datoteka.

Do sada istraživači nisu identificirali zasebni modul odgovoran za prijenos datoteka s računala sa zračnim otvorom na sam USB pogon.

Sposobnost postavljanja dva različita skupa alata za kompromitiranje mreža bez zraka u samo pet godina pokazuje da je GoldenJackal sofisticirani akter prijetnji koji razumije strategije segmentacije mreže koje koriste njegove mete.


U trendu

Nagledanije

Skočni prozori 'Ako imate 18 godina dodirnite Dopusti'

Lažne poruke upozorenja
28,813
Skočni prozori 'If You are 18 Tap Allow' vrsta su skočnih oglasa koji se pojavljuju na zaslonu korisnika dok pregledava internet. Ovi skočni prozori mogu biti prilično alarmantni za korisnike jer ih potiču da kliknu na gumb "dopusti" kako bi nastavili koristiti web stranicu na kojoj se trenutno nalaze. Ovi skočni prozori povezani su s takvim neželjenim programima kao što je adware koji...
Učitavam...