GoldenJackal Threat តារាសម្ដែង

តួអង្គគំរាមកំហែងដែលមិនសូវស្គាល់គេស្គាល់ថា GoldenJackal ត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងការវាយប្រហារតាមអ៊ីនធឺណិតជាបន្តបន្ទាប់ដែលសំដៅទៅស្ថានទូត និងស្ថាប័នរដ្ឋាភិបាល ដោយមានបំណងបំពានប្រព័ន្ធខ្យល់ចេញចូលតាមរយៈឧបករណ៍ផ្ទាល់ខ្លួនពីរផ្សេងគ្នា។

គោលដៅទាំងនោះរួមមានស្ថានទូតអាស៊ីខាងត្បូងដែលមានទីតាំងនៅបេឡារុស្ស និងអង្គការរដ្ឋាភិបាលមួយនៅក្នុងសហភាពអឺរ៉ុប (EU)។ គោលបំណងចម្បងរបស់ GoldenJackal ហាក់ដូចជាការលួចព័ត៌មានរសើប ជាពិសេសពីប្រព័ន្ធទម្រង់ខ្ពស់ ដែលអាចនៅតែផ្តាច់ចេញពីអ៊ីនធឺណិត។

GoldenJackal មានសកម្មភាពជាច្រើនឆ្នាំ

GoldenJackal ត្រូវបានកំណត់អត្តសញ្ញាណជាលើកដំបូងនៅក្នុងខែឧសភា ឆ្នាំ 2023 នៅពេលដែលអ្នកស្រាវជ្រាវបានរាយការណ៍ពីការវាយប្រហាររបស់ចង្កោមការគំរាមកំហែងដែលផ្តោតលើអង្គភាពការទូត និងរដ្ឋាភិបាលនៅមជ្ឈិមបូព៌ា និងអាស៊ីខាងត្បូង។ ប្រតិបត្តិការរបស់ក្រុមនេះអាចតាមដានបានយ៉ាងហោចណាស់ឆ្នាំ 2019។ ទិដ្ឋភាពគួរឱ្យកត់សម្គាល់នៃការឈ្លានពានទាំងនេះគឺការដាក់ពង្រាយដង្កូវដែលគេស្គាល់ថា JackalWorm ដែលអាចឆ្លងដល់ដ្រាយ USB ដែលបានតភ្ជាប់ និងបញ្ជូន Trojan ហៅថា JackalControl ។

ខណៈពេលដែលមិនមានភ័ស្តុតាងគ្រប់គ្រាន់ដើម្បីភ្ជាប់សកម្មភាពទាំងនេះយ៉ាងច្បាស់លាស់ជាមួយនឹងការគំរាមកំហែងរបស់រដ្ឋជាក់លាក់មួយ ភាពស្រដៀងគ្នានៃកលល្បិចមួយចំនួនមានជាមួយឧបករណ៍ព្យាបាទដែលប្រើប្រាស់នៅក្នុងយុទ្ធនាការដែលកំណត់ដោយ Turla និង MoustachedBouncer ដែលក្រោយមកទៀតបានផ្តោតលើស្ថានទូតបរទេសនៅក្នុងប្រទេសបេឡារុស្សផងដែរ។

ការគំរាមកំហែង Malware ជាច្រើនត្រូវបានដាក់ឱ្យប្រើប្រាស់ដោយ GoldenJackal

អ្នកជំនាញផ្នែកសន្តិសុខព័ត៌មានបានកំណត់អត្តសញ្ញាណវត្ថុបុរាណដែលភ្ជាប់ទៅនឹង GoldenJackal នៅស្ថានទូតអាស៊ីខាងត្បូងក្នុងប្រទេសបេឡារុសក្នុងអំឡុងខែសីហា និងខែកញ្ញា ឆ្នាំ 2019 ជាមួយនឹងការរកឃើញបន្ថែមទៀតនៅក្នុងខែកក្កដា ឆ្នាំ 2021។ គួរកត់សម្គាល់ថា តួអង្គគំរាមកំហែងបានដាក់ពង្រាយឧបករណ៍ដែលបានធ្វើបច្ចុប្បន្នភាពទាំងស្រុងដោយជោគជ័យប្រឆាំងនឹងអង្គភាពរដ្ឋាភិបាលសហភាពអឺរ៉ុបនៅចន្លោះខែឧសភា ឆ្នាំ 2022 ដល់ខែមីនា។ ២០២៤។

ភាពស្មុគ្រស្មាញដែលបានបង្ហាញក្នុងការអភិវឌ្ឍន៍ និងដាក់ពង្រាយឧបករណ៍ពីរផ្សេងគ្នាដែលត្រូវបានរចនាឡើងជាពិសេសសម្រាប់ការសម្របសម្រួលប្រព័ន្ធដែលមានគម្លាតខ្យល់ក្នុងរយៈពេល 5 ឆ្នាំ បង្ហាញពីសមត្ថភាពធនធានរបស់ក្រុម។

ការវាយប្រហារលើស្ថានទូតអាស៊ីខាងត្បូងក្នុងប្រទេសបេឡារុស តាមសេចក្តីរាយការណ៍បានប្រើប្រាស់មេរោគមេរោគចំនួនបីផ្សេងគ្នារួមជាមួយ JackalControl, JackalSteal និង JackalWorm៖

• GoldenDealer ដែលជួយសម្រួលដល់ការដឹកជញ្ជូនដែលអាចប្រតិបត្តិបានទៅកាន់ប្រព័ន្ធដែលមានខ្យល់ចេញចូលតាមរយៈដ្រាយ USB ដែលត្រូវបានសម្របសម្រួល។
• GoldenHowl ដែលជា backdoor ម៉ូឌុលដែលមានសមត្ថភាពលួចឯកសារ បង្កើតកិច្ចការដែលបានកំណត់ពេល ផ្ទុកឡើង និងទាញយកឯកសារទៅ និងពីម៉ាស៊ីនមេពីចម្ងាយ និងបង្កើតផ្លូវរូងក្រោមដី SSH ។
• GoldenRobo ដែលជាឧបករណ៍ដែលត្រូវបានរចនាឡើងសម្រាប់ការប្រមូលឯកសារ និងការបន្សុទ្ធទិន្នន័យ។

សំណុំឧបករណ៍គំរាមកំហែងថ្មីដែលប្រើក្នុងការវាយប្រហារ

ផ្ទុយទៅវិញ ការវាយប្រហារដែលផ្តោតលើអង្គការរដ្ឋាភិបាលដែលមិនបញ្ចេញឈ្មោះនៅក្នុងទ្វីបអឺរ៉ុប បានប្រើប្រាស់ឧបករណ៍មេរោគថ្មីទាំងស្រុង ដែលសរសេរជាចម្បងនៅក្នុង Go ។ ឧបករណ៍ទាំងនេះត្រូវបានរចនាឡើងដើម្បីប្រមូលឯកសារពី USB drives ផ្សព្វផ្សាយមេរោគតាមរយៈ USB drives ទាញយកទិន្នន័យ និងប្រើប្រាស់ម៉ាស៊ីនមេមួយចំនួនជាម៉ាស៊ីនមេដើម្បីចែកចាយបន្ទុកទៅម៉ាស៊ីនផ្សេងទៀត៖

• GoldenUsbCopy និង​អ្នក​ស្នង​តំណែង​បន្ត​បន្ទាប់​បន្សំ​របស់​វា GoldenUsbGo ដែល​ត្រួត​ពិនិត្យ​ USB drives និង​ចម្លង​ឯកសារ​សម្រាប់​ការ​បណ្ដេញចេញ។
• GoldenAce ដែលត្រូវបានប្រើដើម្បីផ្សព្វផ្សាយមេរោគ រួមទាំងកំណែស្រាលនៃ JackalWorm ទៅកាន់ប្រព័ន្ធផ្សេងទៀត (មិនចាំបាច់មានខ្យល់ចេញចូល) តាមរយៈ USB drives។
• GoldenBlacklist និងកំណែ Python របស់វា GoldenPyBlacklist ដែលដំណើរការសារអ៊ីមែលដែលចាប់អារម្មណ៍សម្រាប់ការបណ្តេញចេញនាពេលអនាគត។
• GoldenMailer ដែលផ្ញើទិន្នន័យប្រមូលផលទៅអ្នកវាយប្រហារតាមរយៈអ៊ីមែល។
• GoldenDrive ដែលផ្ទុកឡើងនូវព័ត៌មានដែលប្រមូលបានទៅ Google Drive ។

បច្ចុប្បន្ននេះ វានៅតែមិនច្បាស់អំពីរបៀបដែល GoldenJackal ដំបូងសម្របសម្រួលបរិស្ថានគោលដៅ។ ទោះជាយ៉ាងណាក៏ដោយ អ្នកស្រាវជ្រាវពីមុនបានស្នើថា កម្មវិធីដំឡើង Skype trojanized និងឯកសារ Microsoft Word ដែលខូចអាចបម្រើជាចំណុចចូលសក្តានុពល។

តើការវាយប្រហារ GoldenJackal ដំណើរការយ៉ាងដូចម្តេច?

GoldenDealer ដែល​បាន​ដំឡើង​ម្តង​នៅ​លើ​កុំព្យូទ័រ​ដែល​ភ្ជាប់​អ៊ីនធឺណិត​តាម​រយៈ​វិធីសាស្ត្រ​ដែល​មិន​ស្គាល់​អត្តសញ្ញាណ ដំណើរការ​នៅពេល​បញ្ចូល USB drive។ សកម្មភាពនេះនាំឱ្យមានការចម្លងខ្លួនវា និងសមាសធាតុដង្កូវដែលមិនស្គាល់នៅលើឧបករណ៍ចល័ត។ វាត្រូវបានគេជឿថាសមាសធាតុមិនស្គាល់នេះដំណើរការនៅពេលដែលដ្រាយ USB ដែលឆ្លងមេរោគត្រូវបានភ្ជាប់ទៅប្រព័ន្ធដែលមានខ្យល់ចេញចូល បន្ទាប់មក GoldenDealer ប្រមូលព័ត៌មានអំពីម៉ាស៊ីន ហើយរក្សាទុកវាទៅក្នុងដ្រាយ USB ។

នៅពេលដែលឧបករណ៍ USB ត្រូវបានបញ្ចូលទៅក្នុងកុំព្យូទ័រដែលភ្ជាប់អ៊ីនធឺណិតវិញ ក្រុមហ៊ុន GoldenDealer ផ្ទេរព័ត៌មានដែលផ្ទុកនៅលើដ្រាយវ៍ទៅកាន់ម៉ាស៊ីនមេខាងក្រៅ ដែលបន្ទាប់មកបញ្ជូនបន្ទុកដែលសមរម្យត្រឡប់មកវិញដើម្បីដំណើរការនៅលើប្រព័ន្ធខ្យល់។ មេរោគនេះក៏មានទំនួលខុសត្រូវក្នុងការចម្លងកម្មវិធីប្រតិបត្តិដែលបានទាញយកទៅ USB drive ផងដែរ។ នៅដំណាក់កាលចុងក្រោយ នៅពេលដែលឧបករណ៍ត្រូវបានភ្ជាប់ទៅម៉ាស៊ីនដែលមានខ្យល់ចេញចូលម្តងទៀត ក្រុមហ៊ុន GoldenDealer ដំណើរការប្រតិបត្តិការដែលបានចម្លង។

លើសពីនេះ GoldenRobo ដំណើរការលើកុំព្យូទ័រដែលភ្ជាប់អ៊ីនធឺណិត ដែលត្រូវបានរចនាឡើងដើម្បីទាញយកឯកសារពី USB drive ហើយផ្ញើវាទៅម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។ មេរោគនេះដែលត្រូវបានបង្កើតឡើងនៅក្នុង Go ទាញយកឈ្មោះរបស់វាចេញពីឧបករណ៍ប្រើប្រាស់ Windows ស្របច្បាប់ដែលហៅថា robocopy ដែលវាប្រើដើម្បីធ្វើការផ្ទេរឯកសារ។

រហូតមកដល់ពេលនេះ អ្នកស្រាវជ្រាវមិនទាន់កំណត់អត្តសញ្ញាណម៉ូឌុលដាច់ដោយឡែកដែលទទួលខុសត្រូវក្នុងការផ្ទេរឯកសារពីកុំព្យូទ័រដែលមានខ្យល់ចេញចូលទៅកាន់ដ្រាយ USB នោះទេ។

សមត្ថភាពក្នុងការដាក់ពង្រាយឧបករណ៍ពីរផ្សេងគ្នាសម្រាប់ការសម្របសម្រួលបណ្តាញដែលមានគម្លាតខ្យល់ក្នុងរយៈពេលត្រឹមតែ 5 ឆ្នាំបង្ហាញថា GoldenJackal គឺជាតួអង្គគំរាមកំហែងដ៏ស្មុគ្រស្មាញដែលយល់ពីយុទ្ធសាស្ត្របែងចែកបណ្តាញដែលប្រើប្រាស់ដោយគោលដៅរបស់វា។