골든자칼 위협 행위자

골든자칼(GoldenJackal)이라는 덜 알려진 위협 행위자는 대사관과 정부 기관을 표적으로 한 일련의 사이버 공격에 연루되었으며, 두 가지 별도의 맞춤형 툴셋을 통해 공기 차단 시스템을 침해하려는 의도를 가지고 있었습니다.

대상에는 벨라루스에 있는 남아시아 대사관과 유럽 연합(EU) 내의 정부 기관이 포함되었습니다. GoldenJackal의 주요 목표는 민감한 정보, 특히 인터넷과 연결이 끊어진 채로 남아 있을 수 있는 유명 시스템의 정보를 훔치는 것으로 보입니다.

GoldenJackal은 수년간 활동해 왔습니다.

GoldenJackal은 2023년 5월에 처음 발견되었는데, 연구원들이 중동과 남아시아의 외교 및 정부 기관을 표적으로 삼는 위협 클러스터의 공격을 보고했을 때입니다. 이 그룹의 운영은 적어도 2019년으로 거슬러 올라갈 수 있습니다. 이러한 침입의 주목할 만한 측면은 JackalWorm이라는 웜의 배포로, 연결된 USB 드라이브를 감염시키고 JackalControl이라는 트로이 목마를 전달할 수 있습니다.

이러한 활동을 특정 국가 차원의 위협과 확실하게 연관시킬 만한 증거는 충분하지 않지만 Turla와 MoustachedBouncer에 기인한 캠페인에서 사용된 악성 도구와 일부 전술적 유사점이 있습니다. MoustachedBouncer 역시 벨라루스의 외국 대사관을 표적으로 삼았습니다.

GoldenJackal이 배포한 여러 맬웨어 위협

정보 보안 전문가들은 2019년 8월과 9월에 벨라루스의 남아시아 대사관에서 GoldenJackal과 관련된 아티팩트를 식별했고, 2021년 7월에 추가 발견을 했습니다. 주목할 점은 이 위협 행위자가 2022년 5월에서 2024년 3월 사이에 유럽 연합 정부 기관에 완전히 업데이트된 툴셋을 성공적으로 배포했다는 것입니다.

5년에 걸쳐 공기 간격 시스템을 침해하기 위해 특별히 설계된 두 가지 툴셋을 개발하고 배포하는 데 입증된 정교함은 그룹의 수완을 보여줍니다.

벨로루시 남아시아 대사관 공격은 JackalControl, JackalSteal 및 JackalWorm과 함께 세 가지 다른 맬웨어 패밀리를 활용한 것으로 알려졌습니다.

• GoldenDealer는 손상된 USB 드라이브를 통해 에어갭 시스템에 실행 파일을 전달하는 기능을 제공합니다.
• GoldenHowl은 파일 도용, 예약된 작업 생성, 원격 서버에 파일 업로드 및 다운로드, SSH 터널 설정 등의 기능을 갖춘 모듈식 백도어입니다.
• GoldenRobo는 파일 수집 및 데이터 유출을 위해 설계된 도구입니다.

공격에 사용되는 새로운 위협 도구 세트

이와 대조적으로, 유럽의 이름 없는 정부 기관을 표적으로 삼은 공격은 주로 Go로 작성된 완전히 새로운 맬웨어 도구 모음을 사용했습니다. 이러한 도구는 USB 드라이브에서 파일을 수집하고, USB 드라이브를 통해 맬웨어를 전파하고, 데이터를 빼내고, 특정 머신 서버를 스테이징 서버로 활용하여 다른 호스트에 페이로드를 배포하도록 설계되었습니다.

• GoldenUsbCopy와 그 향상된 후속 버전인 GoldenUsbGo는 USB 드라이브를 모니터링하고 파일을 복사하여 유출시킵니다.
• GoldenAce는 USB 드라이브를 통해 다른 시스템(반드시 에어갭이 아닐 수도 있음)에 JackalWorm의 경량 버전을 포함한 맬웨어를 배포하는 데 사용됩니다.
• GoldenBlacklist와 그 Python 변형인 GoldenPyBlacklist는 추후 유출을 목적으로 관심 있는 이메일 메시지를 처리합니다.
• 수집된 데이터를 이메일을 통해 공격자에게 전송하는 GoldenMailer.
• 수집된 정보를 Google Drive에 업로드하는 GoldenDrive.

현재 GoldenJackal이 처음에 어떻게 대상 환경을 손상시키는지는 불분명합니다. 그러나 연구자들은 이전에 트로이 목마화된 Skype 설치 프로그램과 손상된 Microsoft Word 문서가 잠재적인 진입점이 될 수 있다고 제안했습니다.

골든자칼의 공격은 어떻게 진행되는가?

GoldenDealer는 알려지지 않은 방법을 통해 인터넷에 연결된 컴퓨터에 설치되면 USB 드라이브를 삽입하면 활성화됩니다. 이 작업으로 인해 자신과 알려지지 않은 웜 구성 요소가 이동식 장치에 복사됩니다. 이 알려지지 않은 구성 요소는 감염된 USB 드라이브가 에어갭 시스템에 연결되면 실행되고, 그 후 GoldenDealer가 기기에 대한 정보를 수집하여 USB 드라이브에 저장하는 것으로 생각됩니다.

USB 장치가 인터넷에 연결된 컴퓨터에 다시 삽입되면 GoldenDealer는 드라이브에 저장된 정보를 외부 서버로 전송하고, 외부 서버는 에어갭 시스템에서 실행될 적합한 페이로드를 다시 보냅니다. 맬웨어는 또한 다운로드된 실행 파일을 USB 드라이브에 복사하는 역할을 합니다. 마지막 단계에서 장치가 에어갭 시스템에 다시 연결되면 GoldenDealer는 복사된 실행 파일을 실행합니다.

또한 GoldenRobo는 인터넷에 연결된 PC에서 실행되며, USB 드라이브에서 파일을 검색하여 공격자가 제어하는 서버로 전송하도록 설계되었습니다. Go에서 개발된 이 맬웨어는 파일 전송을 수행하는 데 사용하는 합법적인 Windows 유틸리티인 robocopy에서 이름을 따왔습니다.

지금까지 연구자들은 공기가 차단된 컴퓨터에서 USB 드라이브 자체로 파일을 전송하는 별도의 모듈을 발견하지 못했습니다.

단 5년 만에 에어갭 네트워크를 손상시키기 위해 두 가지 다른 툴셋을 배포할 수 있는 능력은 GoldenJackal이 타겟이 사용하는 네트워크 분할 전략을 이해하는 정교한 위협 행위자임을 보여줍니다.