Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Ancaman Berterusan Lanjutan (APT) Pelakon Ancaman GoldenJackal

Pelakon Ancaman GoldenJackal

Menjelang Mezo pada Ancaman Berterusan Lanjutan (APT)
Terjemahkan ke
بهاس ملايو

Seorang pelakon ancaman yang kurang dikenali dikenali sebagai GoldenJackal telah dikaitkan dengan siri serangan siber yang ditujukan kepada kedutaan dan badan kerajaan, dengan niat untuk melanggar sistem celah udara melalui dua set alatan tersuai yang berbeza.

Sasaran itu termasuk kedutaan Asia Selatan yang terletak di Belarus dan organisasi kerajaan dalam Kesatuan Eropah (EU). Objektif utama GoldenJackal nampaknya adalah pencurian maklumat sensitif, terutamanya daripada sistem berprofil tinggi yang mungkin kekal terputus sambungan daripada Internet.

GoldenJackal Telah Aktif Selama Bertahun-tahun

GoldenJackal mula dikenal pasti pada Mei 2023, apabila penyelidik melaporkan serangan kelompok ancaman yang menyasarkan entiti diplomatik dan kerajaan di Timur Tengah dan Asia Selatan. Operasi kumpulan itu boleh dikesan kembali ke sekurang-kurangnya 2019. Aspek ketara pencerobohan ini ialah penggunaan cecacing yang dikenali sebagai JackalWorm, yang boleh menjangkiti pemacu USB yang disambungkan dan menghantar trojan yang disebut sebagai JackalControl.

Walaupun tidak ada bukti yang mencukupi untuk mengaitkan aktiviti ini secara muktamad dengan ancaman negara bangsa tertentu, beberapa persamaan taktikal wujud dengan alat berniat jahat yang digunakan dalam kempen yang dikaitkan dengan Turla dan MoustachedBouncer, yang terakhir turut memfokuskan kepada kedutaan asing di Belarus.

Pelbagai Ancaman Hasad Digunakan oleh GoldenJackal

Pakar keselamatan maklumat mengenal pasti artifak yang dikaitkan dengan GoldenJackal di kedutaan Asia Selatan di Belarus pada Ogos dan September 2019, dengan penemuan lanjut pada Julai 2021. Terutama sekali, aktor ancaman itu berjaya menggunakan set alat yang dikemas kini sepenuhnya terhadap entiti kerajaan Kesatuan Eropah antara Mei 2022 dan Mac 2024.

Kecanggihan yang ditunjukkan dalam membangunkan dan menggunakan dua set alat yang berbeza yang direka khusus untuk menjejaskan sistem celah udara selama lima tahun menyerlahkan kepintaran kumpulan itu.

Serangan ke atas kedutaan Asia Selatan di Belarus dilaporkan menggunakan tiga keluarga perisian hasad yang berbeza bersama JackalControl, JackalSteal dan JackalWorm:

  • GoldenDealer, yang memudahkan penghantaran boleh laku kepada sistem celah udara melalui pemacu USB yang terjejas.
  • GoldenHowl, pintu belakang modular yang mampu mencuri fail, mencipta tugas berjadual, memuat naik dan memuat turun fail ke dan dari pelayan jauh, dan mewujudkan terowong SSH.
  • GoldenRobo, alat yang direka untuk pengumpulan fail dan exfiltration data.

Set Baru Alat Mengancam Digunakan dalam Serangan

Sebaliknya, serangan yang menyasarkan organisasi kerajaan yang tidak dinamakan di Eropah telah menggunakan set alat perisian hasad yang benar-benar baharu yang terutamanya ditulis dalam Go. Alat ini direka bentuk untuk mengumpul fail daripada pemacu USB, menyebarkan perisian hasad melalui pemacu USB, mengeluarkan data dan menggunakan pelayan mesin tertentu sebagai pelayan pementasan untuk mengedarkan muatan kepada hos lain:

  • GoldenUsbCopy dan penggantinya yang dipertingkatkan, GoldenUsbGo, yang memantau pemacu USB dan menyalin fail untuk exfiltration.
  • GoldenAce, yang digunakan untuk menyebarkan perisian hasad, termasuk versi ringan JackalWorm, kepada sistem lain (tidak semestinya bergap udara) melalui pemacu USB.
  • GoldenBlacklist dan varian Pythonnya, GoldenPyBlacklist, yang memproses mesej e-mel yang diminati untuk exfiltration masa hadapan.
  • GoldenMailer, yang menghantar data yang dituai kepada penyerang melalui e-mel.
  • GoldenDrive, yang memuat naik maklumat yang dituai ke Google Drive.

Pada masa ini, masih tidak jelas bagaimana GoldenJackal pada mulanya menjejaskan persekitaran sasaran. Walau bagaimanapun, penyelidik sebelum ini telah mencadangkan bahawa pemasang Skype yang ditrojan dan dokumen Microsoft Word yang rosak mungkin berfungsi sebagai titik masuk yang berpotensi.

Bagaimana Serangan GoldenJackal Berlanjutan?

GoldenDealer, setelah dipasang pada komputer yang disambungkan ke Internet melalui kaedah yang tidak dikenal pasti, diaktifkan apabila pemacu USB dimasukkan. Tindakan ini mengakibatkan penyalinan dirinya sendiri dan komponen cacing yang tidak diketahui pada peranti boleh tanggal. Adalah dipercayai bahawa komponen yang tidak diketahui ini dilaksanakan apabila pemacu USB yang dijangkiti disambungkan ke sistem celah udara, selepas itu GoldenDealer mengumpul maklumat tentang mesin dan menyimpannya ke pemacu USB.

Apabila peranti USB dimasukkan semula ke dalam komputer yang disambungkan ke Internet, GoldenDealer memindahkan maklumat yang disimpan pada pemacu ke pelayan luaran, yang kemudiannya menghantar semula muatan yang sesuai untuk dilaksanakan pada sistem celah udara. Malware juga bertanggungjawab untuk menyalin executable yang dimuat turun ke pemacu USB. Pada peringkat akhir, apabila peranti disambungkan ke mesin bergap udara sekali lagi, GoldenDealer melaksanakan boleh laku yang disalin.

Selain itu, GoldenRobo berjalan pada PC yang disambungkan ke Internet, direka untuk mendapatkan semula fail daripada pemacu USB dan menghantarnya ke pelayan yang dikawal oleh penyerang. Perisian hasad ini, dibangunkan dalam Go, memperoleh namanya daripada utiliti Windows yang sah dipanggil robocopy, yang digunakan untuk melaksanakan pemindahan fail.

Setakat ini, penyelidik belum mengenal pasti modul berasingan yang bertanggungjawab untuk memindahkan fail dari komputer bergap udara ke pemacu USB itu sendiri.

Keupayaan untuk menggunakan dua set alat yang berbeza untuk menjejaskan rangkaian celah udara dalam masa lima tahun sahaja menunjukkan bahawa GoldenJackal ialah aktor ancaman canggih yang memahami strategi pembahagian rangkaian yang digunakan oleh sasarannya.


Trending

Paling banyak dilihat

Memuatkan...