Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Advanced Persistent Threat (APT) Aranysakál fenyegetés színész

Aranysakál fenyegetés színész

Mezo -ra Advanced Persistent Threat (APT)-ben
Fordítás ide:
Magyar

A GoldenJackal néven ismert, kevésbé ismert fenyegetettséget egy sor kibertámadáshoz hozták összefüggésbe, amelyek nagykövetségeket és kormányzati szerveket céloztak meg azzal a szándékkal, hogy két különböző egyéni eszközkészleten keresztül áttörjék a légrés rendszereket.

A célpontok között szerepelt egy fehéroroszországi dél-ázsiai nagykövetség és egy európai uniós (EU) kormányzati szervezet is. Úgy tűnik, hogy a GoldenJackal elsődleges célja érzékeny információk ellopása, különösen olyan nagy horderejű rendszerekről, amelyek esetleg leválasztva maradnak az internetről.

A GoldenJackal évek óta aktív

A GoldenJackalt először 2023 májusában azonosították, amikor a kutatók beszámoltak a fenyegetettségi klaszter támadásairól, amelyek diplomáciai és kormányzati szerveket céloznak meg a Közel-Keleten és Dél-Ázsiában. A csoport működése legalább 2019-ig vezethető vissza. A behatolások egyik figyelemre méltó aspektusa a JackalWorm néven ismert féreg telepítése, amely megfertőzheti a csatlakoztatott USB-meghajtókat, és egy JackalControl néven emlegetett trójai programot szállíthat.

Bár nincs elég bizonyíték arra, hogy ezeket a tevékenységeket határozottan egy adott nemzetállami fenyegetéssel társítsák, vannak taktikai hasonlóságok a Turlának és a MoustachedBouncernek tulajdonított kampányokban használt rosszindulatú eszközökkel, amelyek közül az utóbbi szintén a fehéroroszországi külföldi nagykövetségekre összpontosított.

A GoldenJackal által telepített több rosszindulatú program

Információbiztonsági szakértők 2019 augusztusában és szeptemberében egy fehéroroszországi dél-ázsiai nagykövetségen a GoldenJackalhoz köthető műtermékeket azonosítottak, majd 2021 júliusában további felfedezésekre is sor került. A fenyegetettség szereplője 2022 májusa és márciusa között sikeresen bevetett egy teljesen frissített eszközkészletet egy európai uniós kormányzati szerv ellen. 2024.

Az a kifinomultság, amelyet két különálló eszközkészlet fejlesztésében és bevezetésében mutattak ki, amelyeket kifejezetten a légrés rendszerek kompromittálására terveztek öt éven keresztül, rávilágít a csoport találékonyságára.

A jelentések szerint a dél-ázsiai fehéroroszországi nagykövetség elleni támadás három különböző kártevőcsaládot használt a JackalControl, a JackalSteal és a JackalWorm mellett:

  • GoldenDealer, amely megkönnyíti a végrehajtható fájlok eljuttatását légrés rendszerekhez kompromittált USB-meghajtókon keresztül.
  • GoldenHowl, egy moduláris hátsó ajtó, amely képes fájllopásra, ütemezett feladatok létrehozására, fájlok feltöltésére és letöltésére távoli szerverre és onnan, valamint SSH alagút létrehozására.
  • GoldenRobo, egy fájlgyűjtésre és adatok kiszűrésére tervezett eszköz.

A támadásokban használt fenyegető eszközök új készlete

Ezzel szemben a meg nem nevezett európai kormányzati szervezetet célzó támadások egy teljesen új, elsősorban Go nyelven írt rosszindulatú szoftvercsomagot alkalmaztak. Ezeket az eszközöket arra tervezték, hogy fájlokat gyűjtsenek USB-meghajtókról, rosszindulatú programokat terjesszenek USB-meghajtókon keresztül, kiszűrjék az adatokat, és bizonyos gépszervereket állomásozószerverként használják fel a hasznos terhek más gazdagépekhez való elosztására:

  • A GoldenUsbCopy és továbbfejlesztett utódja, a GoldenUsbGo, amely figyeli az USB-meghajtókat és másolja a fájlokat kiszűrés céljából.
  • GoldenAce, amely rosszindulatú programok, köztük a JackalWorm könnyű verziójának terjesztésére szolgál USB-meghajtókon keresztül más rendszerekre (nem feltétlenül légrésben).
  • A GoldenBlacklist és Python-változata, a GoldenPyBlacklist, amely feldolgozza az érdeklődésre számot tartó e-maileket a jövőbeni kiszűrés céljából.
  • GoldenMailer, amely e-mailben küldi el a begyűjtött adatokat a támadóknak.
  • GoldenDrive, amely feltölti a betakarított információkat a Google Drive-ra.

Jelenleg továbbra sem világos, hogy a GoldenJackal kezdetben hogyan veszélyezteti a célkörnyezeteket. A kutatók azonban korábban felvetették, hogy a trójai Skype-telepítők és a sérült Microsoft Word dokumentumok potenciális belépési pontként szolgálhatnak.

Hogyan zajlanak a GoldenJackal támadások?

A GoldenDealer, miután azonosítatlan módon telepítette az internetre csatlakoztatott számítógépet, USB-meghajtó behelyezésekor aktiválódik. Ez a művelet saját magát és egy ismeretlen féregkomponenst másolja a cserélhető eszközre. Úgy gondolják, hogy ez az ismeretlen komponens akkor fut le, amikor a fertőzött USB-meghajtót egy légrés rendszerhez csatlakoztatják, ami után a GoldenDealer információkat gyűjt a gépről, és elmenti az USB-meghajtóra.

Amikor az USB-eszközt visszahelyezik az internetre csatlakoztatott számítógépbe, a GoldenDealer a meghajtón tárolt információkat egy külső szerverre továbbítja, amely aztán visszaküldi a megfelelő rakományokat, amelyeket a légrés rendszeren kell végrehajtani. A kártevő felelős azért is, hogy a letöltött végrehajtható fájlokat az USB-meghajtóra másolja. Az utolsó szakaszban, amikor az eszközt újra csatlakoztatják a légrés géphez, a GoldenDealer végrehajtja a másolt végrehajtható fájlokat.

Ezenkívül a GoldenRobo az internetre csatlakoztatott számítógépen fut, amelyet úgy terveztek, hogy lekérje a fájlokat az USB-meghajtóról, és elküldje azokat a támadó által vezérelt szerverre. Ez a rosszindulatú program, amelyet a Go-ban fejlesztettek ki, a nevét egy törvényes, robocopy nevű Windows-segédprogramról kapta, amelyet a fájlátvitel végrehajtására használ.

A kutatók eddig nem azonosítottak külön modult, amely a légrés számítógépről magára az USB-meghajtóra való fájlok átviteléért felelős.

Az a képesség, hogy mindössze öt éven belül két különálló eszközkészletet telepíthet a légrés hálózatok kompromittálására, azt mutatja, hogy a GoldenJackal kifinomult fenyegetési szereplő, aki megérti a célpontjai által alkalmazott hálózatszegmentációs stratégiákat.


Felkapott

Példák a termék e-mail átverésére

Adathalászat, Spam
A csalók egyre kreatívabbak a gyanútlan internetezők megtévesztésére tett erőfeszítéseikben. A támadások egyik legelterjedtebb formája az e-mail-alapú csalás, amelynek során a kiberbűnözők meggyőző üzeneteket készítenek, hogy bizalmas információk közlésére csalják meg a címzetteket. Az olyan taktikák, mint a „Termékminták” e-mail kampány, kiemelik az éberség megőrzésének fontosságát a weben...

Legnézettebb

„Ha Ön 18 éves, koppintson az Engedélyezés gombra”...

Hamis figyelmeztető üzenetek
28,813
A „Ha 18 éves vagy, koppintson az Engedélyezésre” felugró ablakok olyan felugró hirdetések, amelyek a felhasználó képernyőjén jelennek meg, amikor az interneten böngészik. Ezek az előugró ablakok meglehetősen riasztóak lehetnek a felhasználók számára, mivel arra ösztönzik őket, hogy kattintson az "engedélyezés" gombra, hogy továbbra is használja a jelenleg használt webhelyet. Ezek az előugró...
Betöltés...