Preventivo sconto multi-licenza
Database delle minacce Minaccia persistente avanzata (APT) GoldenJackal Attore Minaccia

GoldenJackal Attore Minaccia

Entro Mezo nel Minaccia persistente avanzata (APT)
Traduci in:
Italiano

Un autore di minacce meno noto, noto come GoldenJackal, è stato associato a una serie di attacchi informatici rivolti ad ambasciate e organi governativi, con l'intento di violare i sistemi isolati tramite due distinti set di strumenti personalizzati.

Gli obiettivi includevano un'ambasciata sud asiatica situata in Bielorussia e un'organizzazione governativa all'interno dell'Unione Europea (UE). L'obiettivo primario di GoldenJackal sembra essere il furto di informazioni sensibili, in particolare da sistemi di alto profilo che potrebbero rimanere disconnessi da Internet.

GoldenJackal è attivo da anni

GoldenJackal è stato identificato per la prima volta a maggio 2023, quando i ricercatori hanno segnalato gli attacchi del cluster di minacce che hanno preso di mira entità diplomatiche e governative in Medio Oriente e Asia meridionale. Le operazioni del gruppo possono essere fatte risalire almeno al 2019. Un aspetto degno di nota di queste intrusioni è l'implementazione di un worm noto come JackalWorm, che può infettare le unità USB connesse e distribuire un trojan denominato JackalControl.

Sebbene non vi siano prove sufficienti per associare definitivamente queste attività a una specifica minaccia per uno Stato nazionale, esistono alcune somiglianze tattiche con gli strumenti dannosi utilizzati nelle campagne attribuite a Turla e MoustachedBouncer, quest'ultima concentrata anche sulle ambasciate straniere in Bielorussia.

Molteplici minacce malware distribuite da GoldenJackal

Gli esperti di sicurezza informatica hanno identificato artefatti collegati a GoldenJackal presso un'ambasciata dell'Asia meridionale in Bielorussia durante agosto e settembre 2019, con ulteriori scoperte a luglio 2021. In particolare, l'autore della minaccia ha distribuito con successo un set di strumenti completamente aggiornato contro un'entità governativa dell'Unione Europea tra maggio 2022 e marzo 2024.

La raffinatezza dimostrata nello sviluppo e nell'implementazione di due distinti set di strumenti, specificamente progettati per compromettere i sistemi air gap, nell'arco di cinque anni mette in luce l'intraprendenza del gruppo.

L'attacco all'ambasciata dell'Asia meridionale in Bielorussia avrebbe utilizzato tre diverse famiglie di malware, oltre a JackalControl, JackalSteal e JackalWorm:

  • GoldenDealer, che facilita la distribuzione di file eseguibili su sistemi air-gapped tramite unità USB compromesse.
  • GoldenHowl, una backdoor modulare in grado di rubare file, creare attività pianificate, caricare e scaricare file da e verso un server remoto e stabilire un tunnel SSH.
  • GoldenRobo, uno strumento progettato per la raccolta di file e l'esfiltrazione di dati.

Il nuovo set di strumenti minacciosi utilizzati negli attacchi

Al contrario, gli attacchi mirati all'organizzazione governativa senza nome in Europa hanno impiegato una suite completamente nuova di strumenti malware scritti principalmente in Go. Questi strumenti sono progettati per raccogliere file da unità USB, propagare malware tramite unità USB, esfiltrare dati e utilizzare determinati server di macchine come server di staging per distribuire payload ad altri host:

  • GoldenUsbCopy e il suo successore migliorato, GoldenUsbGo, monitorano le unità USB e copiano i file per estrarli.
  • GoldenAce, utilizzato per diffondere malware, tra cui una versione leggera di JackalWorm, ad altri sistemi (non necessariamente isolati) tramite unità USB.
  • GoldenBlacklist e la sua variante Python, GoldenPyBlacklist, che elabora i messaggi di posta elettronica di interesse per una futura esfiltrazione.
  • GoldenMailer, che invia i dati raccolti agli aggressori tramite e-mail.
  • GoldenDrive, che carica le informazioni raccolte su Google Drive.

Attualmente, non è ancora chiaro come GoldenJackal comprometta inizialmente gli ambienti target. Tuttavia, i ricercatori hanno precedentemente suggerito che gli installer Skype trojanizzati e i documenti Microsoft Word corrotti potrebbero fungere da potenziali punti di ingresso.

Come procedono gli attacchi del GoldenJackal?

GoldenDealer, una volta installato su un computer connesso a Internet tramite un metodo non identificato, si attiva quando viene inserita un'unità USB. Questa azione determina la copia di se stesso e di un componente worm sconosciuto sul dispositivo rimovibile. Si ritiene che questo componente sconosciuto venga eseguito quando l'unità USB infetta viene collegata a un sistema air-gapped, dopodiché GoldenDealer raccoglie informazioni sulla macchina e le salva sull'unità USB.

Quando il dispositivo USB viene reinserito nel computer connesso a Internet, GoldenDealer trasferisce le informazioni memorizzate sull'unità a un server esterno, che quindi invia indietro payload adatti da eseguire sul sistema air-gapped. Il malware è anche responsabile della copia degli eseguibili scaricati sull'unità USB. Nella fase finale, quando il dispositivo viene nuovamente collegato alla macchina air-gapped, GoldenDealer esegue gli eseguibili copiati.

Inoltre, GoldenRobo gira sul PC connesso a Internet, progettato per recuperare file dall'unità USB e inviarli al server controllato dall'attaccante. Questo malware, sviluppato in Go, deriva il suo nome da una legittima utility di Windows chiamata robocopy, che usa per eseguire i trasferimenti di file.

Finora i ricercatori non hanno identificato un modulo separato responsabile del trasferimento dei file dal computer isolato all'unità USB stessa.

La capacità di implementare due set di strumenti distinti per compromettere reti air gap nel giro di soli cinque anni dimostra che GoldenJackal è un autore di minacce sofisticato che comprende le strategie di segmentazione della rete impiegate dai suoi obiettivi.


Tendenza

I più visti

Caricamento in corso...