गोल्डेनज्याकल थ्रेट अभिनेता
गोल्डेनज्याकल भनेर चिनिने एक कम ज्ञात खतरा अभिनेता दूतावास र सरकारी निकायहरूमा लक्षित साइबर आक्रमणहरूको श्रृंखलासँग सम्बन्धित छ, दुई फरक कस्टम उपकरणसेटहरू मार्फत एयर-ग्याप गरिएको प्रणालीहरू उल्लंघन गर्ने उद्देश्यले।
लक्ष्यहरूमा बेलारुसमा अवस्थित दक्षिण एसियाली दूतावास र युरोपेली संघ (EU) भित्र रहेको सरकारी संस्था समावेश छ। GoldenJackal को प्राथमिक उद्देश्य संवेदनशील जानकारी को चोरी जस्तो देखिन्छ, विशेष गरी उच्च-प्रोफाइल प्रणालीहरु बाट जुन इन्टरनेटबाट विच्छेदन रहन सक्छ।
सामग्रीको तालिका
GoldenJackal वर्षौंदेखि सक्रिय छ
गोल्डेनज्याकल पहिलो पटक मे २०२३ मा पहिचान गरिएको थियो, जब अनुसन्धानकर्ताहरूले मध्यपूर्व र दक्षिण एसियामा कूटनीतिक र सरकारी निकायहरूलाई लक्षित गर्ने खतरा समूहका आक्रमणहरूबारे रिपोर्ट गरे। समूहको कार्यहरू कम्तिमा 2019 मा पत्ता लगाउन सकिन्छ। यी घुसपैठहरूको एउटा उल्लेखनीय पक्ष JackalWorm भनेर चिनिने कीराको तैनाथी हो, जसले जडान गरिएको USB ड्राइभलाई संक्रमित गर्न सक्छ र JackalControl भनेर चिनिने ट्रोजन डेलिभर गर्न सक्छ।
यी गतिविधिहरूलाई निश्चित रूपमा राष्ट्र-राज्यको खतरासँग सम्बद्ध गर्न पर्याप्त प्रमाणहरू नभए पनि, Turla र MoustachedBouncer लाई श्रेय दिएका अभियानहरूमा प्रयोग गरिएका दुर्भावनापूर्ण उपकरणहरूसँग केही सामरिक समानताहरू अवस्थित छन्, जसको पछिल्लो बेलारूसमा विदेशी दूतावासहरूमा पनि केन्द्रित छ।
धेरै मालवेयर धम्कीहरू GoldenJackal द्वारा तैनात
सूचना सुरक्षा विशेषज्ञहरूले अगस्ट र सेप्टेम्बर 2019 मा बेलारुसको दक्षिण एसियाली दूतावासमा गोल्डेनज्याकलसँग जोडिएका कलाकृतिहरू पहिचान गरे, जुलाई 2021 मा थप खोजहरू। उल्लेखनीय रूपमा, खतरा अभिनेताले सफलतापूर्वक मे 2022 र मार्चको बीचमा युरोपेली संघको सरकारी निकाय विरुद्ध पूर्ण रूपमा अद्यावधिक गरिएको टुलसेट तैनात गर्यो। २०२४।
विशेष गरी पाँच वर्षको अवधिमा एयर-ग्याप्ड प्रणालीहरूसँग सम्झौता गर्नका लागि डिजाइन गरिएका दुईवटा छुट्टाछुट्टै टुलसेटहरू विकास र प्रयोगमा देखाइएको परिष्कारले समूहको स्रोतसाधनलाई हाइलाइट गर्दछ।
बेलारुसमा दक्षिण एसियाली दूतावासमा भएको आक्रमणले JackalControl, JackalSteal र JackalWorm सँगसँगै तीन फरक मालवेयर परिवारहरू प्रयोग गरेको बताइएको छ:
- GoldenDealer, जसले सम्झौता गरिएको USB ड्राइभहरू मार्फत एयर-ग्याप गरिएको प्रणालीहरूमा कार्यान्वयन योग्यहरूको डेलिभरीको सुविधा दिन्छ।
- GoldenHowl, एक मोड्युलर ब्याकडोर फाइल चोरी गर्न सक्षम छ, निर्धारित कार्यहरू सिर्जना गर्न, रिमोट सर्भरबाट फाइलहरू अपलोड र डाउनलोड गर्न, र SSH टनेल स्थापना गर्न।
- GoldenRobo, फाइल सङ्कलन र डाटा एक्सफिल्ट्रेसनका लागि डिजाइन गरिएको उपकरण।
आक्रमणमा प्रयोग हुने धम्की दिने उपकरणहरूको नयाँ सेट
यसको विपरित, युरोपमा अज्ञात सरकारी संगठनलाई लक्षित गर्ने आक्रमणहरूले मुख्य रूपमा Go मा लेखिएको मालवेयर उपकरणहरूको पूर्ण रूपमा नयाँ सूट प्रयोग गरेको छ। यी उपकरणहरू USB ड्राइभहरूबाट फाइलहरू सङ्कलन गर्न, USB ड्राइभहरू मार्फत मालवेयर प्रचार गर्न, डेटा निकाल्न, र अन्य होस्टहरूमा पेलोडहरू वितरण गर्न स्टेजिङ सर्भरहरूको रूपमा निश्चित मेसिन सर्भरहरू प्रयोग गर्न डिजाइन गरिएको हो:
- GoldenUsbCopy र यसको परिष्कृत उत्तराधिकारी, GoldenUsbGo, जसले USB ड्राइभहरू निगरानी गर्दछ र exfiltration को लागि फाइलहरू प्रतिलिपि गर्दछ।
- GoldenAce, जुन मालवेयर फैलाउन प्रयोग गरिन्छ, जसमा JackalWorm को हल्का संस्करण सहित, USB ड्राइभहरू मार्फत अन्य प्रणालीहरूमा (अवश्यक रूपमा एयर-ग्याप गरिएको छैन)।
- GoldenBlacklist र यसको पाइथन भेरियन्ट, GoldenPyBlacklist, जसले भविष्यको एक्सफिल्टेशनको लागि चासोको इमेल सन्देशहरू प्रशोधन गर्दछ।
- गोल्डेनमेलर, जसले कटाई गरिएको डाटा आक्रमणकारीहरूलाई इमेल मार्फत पठाउँछ।
- GoldenDrive, जसले गुगल ड्राइभमा फसल जानकारी अपलोड गर्दछ।
हाल, यो अस्पष्ट रहन्छ कि कसरी GoldenJackal ले सुरुमा लक्षित वातावरणमा सम्झौता गर्छ। यद्यपि, शोधकर्ताहरूले पहिले सुझाव दिएका छन् कि ट्रोजनाइज्ड स्काइप स्थापनाकर्ताहरू र भ्रष्ट माइक्रोसफ्ट वर्ड कागजातहरूले सम्भावित प्रविष्टि बिन्दुहरूको रूपमा काम गर्न सक्छ।
गोल्डेनज्याकल आक्रमण कसरी अगाडि बढ्छ?
GoldenDealer, एक पटक इन्टरनेट-जडान भएको कम्प्युटरमा अज्ञात विधि मार्फत स्थापित, USB ड्राइभ घुसाउँदा सक्रिय हुन्छ। यो कार्यले आफैंको प्रतिलिपि बनाउँछ र हटाउन सकिने यन्त्रमा अज्ञात कीरा कम्पोनेन्ट। यो अज्ञात कम्पोनेन्टले संक्रमित USB ड्राइभलाई एयर-ग्याप गरिएको प्रणालीमा जडान गर्दा कार्यान्वयन गर्छ भन्ने विश्वास गरिन्छ, त्यसपछि GoldenDealer ले मेसिनको बारेमा जानकारी सङ्कलन गर्छ र USB ड्राइभमा बचत गर्छ।
जब USB उपकरण इन्टरनेट-जडान भएको कम्प्युटरमा पुन: घुसाइन्छ, गोल्डनडीलरले ड्राइभमा भण्डारण गरिएको जानकारीलाई बाह्य सर्भरमा स्थानान्तरण गर्दछ, जसले त्यसपछि एयर-ग्याप गरिएको प्रणालीमा कार्यान्वयन गर्न उपयुक्त पेलोडहरू फिर्ता पठाउँछ। USB ड्राइभमा डाउनलोड गरिएका निष्पादन योग्यहरूलाई प्रतिलिपि गर्नको लागि मालवेयर पनि जिम्मेवार छ। अन्तिम चरणमा, जब यन्त्र फेरि एयर-ग्याप गरिएको मेसिनमा जडान हुन्छ, GoldenDealer ले प्रतिलिपि गरिएका कार्यान्वयनहरू कार्यान्वयन गर्दछ।
थप रूपमा, GoldenRobo इन्टरनेट-जडित पीसीमा चल्छ, USB ड्राइभबाट फाइलहरू पुन: प्राप्त गर्न र आक्रमणकर्ता-नियन्त्रित सर्भरमा पठाउन डिजाइन गरिएको। Go मा विकसित भएको यो मालवेयरले यसको नाम रोबोकपी भनिने वैध विन्डोज युटिलिटीबाट लिइएको हो, जुन यसले फाइल ट्रान्सफर गर्न प्रयोग गर्छ।
अहिलेसम्म, शोधकर्ताहरूले एयर-गप कम्प्युटरबाट USB ड्राइभमा फाइलहरू स्थानान्तरण गर्न जिम्मेवार छुट्टै मोड्युल पहिचान गरेका छैनन्।
केवल पाँच वर्ष भित्र वायु-गप्पड नेटवर्कहरू सम्झौता गर्नका लागि दुई फरक उपकरणसेटहरू तैनात गर्ने क्षमताले देखाउँछ कि गोल्डेनज्याकल एक परिष्कृत खतरा अभिनेता हो जसले यसको लक्ष्यहरूद्वारा नियोजित नेटवर्क विभाजन रणनीतिहरू बुझ्दछ।
