GoldenJackal Bedreiging Acteur

Een minder bekende dreigingsactor, bekend als GoldenJackal, wordt in verband gebracht met een reeks cyberaanvallen gericht op ambassades en overheidsinstellingen. De aanvallen hadden als doel om via twee verschillende, op maat gemaakte toolsets in te breken in beveiligde systemen.

De doelen omvatten een Zuid-Aziatische ambassade in Wit-Rusland en een overheidsorganisatie binnen de Europese Unie (EU). GoldenJackal's primaire doel lijkt de diefstal van gevoelige informatie te zijn, met name van spraakmakende systemen die mogelijk niet met het internet verbonden zijn.

GoldenJackal is al jaren actief

GoldenJackal werd voor het eerst geïdentificeerd in mei 2023, toen onderzoekers de aanvallen van de dreigingscluster rapporteerden die gericht zijn op diplomatieke en overheidsinstanties in het Midden-Oosten en Zuid-Azië. De activiteiten van de groep kunnen worden herleid tot ten minste 2019. Een opmerkelijk aspect van deze inbraken is de inzet van een worm die bekendstaat als JackalWorm, die aangesloten USB-drives kan infecteren en een trojan kan leveren die bekendstaat als JackalControl.

Hoewel er niet voldoende bewijs is om deze activiteiten definitief te associëren met een specifieke bedreiging voor een natiestaat, bestaan er wel enkele tactische overeenkomsten met de kwaadaardige tools die worden gebruikt in campagnes die worden toegeschreven aan Turla en MoustachedBouncer. Laatstgenoemde campagne richtte zich ook op buitenlandse ambassades in Wit-Rusland.

Meerdere malwarebedreigingen geïmplementeerd door GoldenJackal

Experts op het gebied van informatiebeveiliging identificeerden in augustus en september 2019 artefacten die verband hielden met GoldenJackal bij een Zuid-Aziatische ambassade in Wit-Rusland. In juli 2021 werden er nog meer ontdekkingen gedaan. Opvallend is dat de dreigingsactor tussen mei 2022 en maart 2024 met succes een volledig bijgewerkte toolset heeft ingezet tegen een overheidsinstantie van de Europese Unie.

De verfijning die de groep aan de dag legde bij het ontwikkelen en implementeren van twee afzonderlijke toolsets die speciaal zijn ontworpen voor het compromitteren van air-gapped systemen over een periode van vijf jaar, onderstreept de vindingrijkheid van de groep.

Bij de aanval op de Zuid-Aziatische ambassade in Wit-Rusland zouden drie verschillende malwarefamilies zijn gebruikt, naast JackalControl, JackalSteal en JackalWorm:

• GoldenDealer, waarmee uitvoerbare bestanden via gecompromitteerde USB-sticks naar systemen met een airgapp kunnen worden verzonden.
• GoldenHowl, een modulaire backdoor die bestanden kan stelen, geplande taken kan aanmaken, bestanden kan uploaden en downloaden van en naar een externe server en een SSH-tunnel kan opzetten.
• GoldenRobo, een tool voor het verzamelen van bestanden en het exfiltreren van gegevens.

De nieuwe set bedreigende hulpmiddelen die bij aanvallen worden gebruikt

Daarentegen hebben de aanvallen op de naamloze overheidsorganisatie in Europa gebruikgemaakt van een compleet nieuwe reeks malwaretools die voornamelijk in Go zijn geschreven. Deze tools zijn ontworpen om bestanden van USB-drives te verzamelen, malware via USB-drives te verspreiden, gegevens te exfiltreren en bepaalde machineservers te gebruiken als stagingservers om payloads naar andere hosts te distribueren:

• GoldenUsbCopy en zijn verbeterde opvolger, GoldenUsbGo, bewaken USB-stations en kopiëren bestanden op diefstal.
• GoldenAce, dat wordt gebruikt om malware, waaronder een lichtgewicht versie van JackalWorm, te verspreiden naar andere systemen (niet noodzakelijkerwijs air-gapped) via USB-sticks.
• GoldenBlacklist en de Python-variant, GoldenPyBlacklist, die interessante e-mailberichten verwerkt voor toekomstige exfiltratie.
• GoldenMailer, dat de verzamelde gegevens via e-mail naar aanvallers stuurt.
• GoldenDrive, dat verzamelde informatie uploadt naar Google Drive.

Momenteel is het nog onduidelijk hoe GoldenJackal in eerste instantie doelomgevingen compromitteert. Onderzoekers hebben echter eerder gesuggereerd dat trojanized Skype-installatieprogramma's en corrupte Microsoft Word-documenten als potentiële toegangspunten kunnen dienen.

Hoe verlopen de aanvallen van de GoldenJackal?

GoldenDealer, eenmaal geïnstalleerd op een met internet verbonden computer via een niet-geïdentificeerde methode, wordt geactiveerd wanneer een USB-station wordt geplaatst. Deze actie resulteert in het kopiëren van zichzelf en een onbekend wormcomponent naar het verwijderbare apparaat. Er wordt aangenomen dat dit onbekende component wordt uitgevoerd wanneer het geïnfecteerde USB-station wordt aangesloten op een air-gapped systeem, waarna GoldenDealer informatie over de machine verzamelt en deze opslaat op het USB-station.

Wanneer het USB-apparaat opnieuw wordt aangesloten op de computer met internetverbinding, draagt GoldenDealer de informatie die op de drive is opgeslagen over naar een externe server, die vervolgens geschikte payloads terugstuurt om uit te voeren op het air-gapped systeem. De malware is ook verantwoordelijk voor het kopiëren van de gedownloade uitvoerbare bestanden naar de USB-drive. In de laatste fase, wanneer het apparaat opnieuw wordt aangesloten op de air-gapped machine, voert GoldenDealer de gekopieerde uitvoerbare bestanden uit.

Daarnaast draait GoldenRobo op de met internet verbonden pc, ontworpen om bestanden van de USB-stick op te halen en ze naar de door de aanvaller gecontroleerde server te sturen. Deze malware, ontwikkeld in Go, ontleent zijn naam aan een legitiem Windows-hulpprogramma genaamd robocopy, dat het gebruikt om de bestandsoverdrachten uit te voeren.

Tot nu toe hebben onderzoekers nog geen aparte module kunnen identificeren die verantwoordelijk is voor het overbrengen van bestanden van de computer zonder netwerkverbinding naar de USB-stick zelf.

Het vermogen om binnen slechts vijf jaar twee verschillende toolsets in te zetten om air-gapped netwerken te compromitteren, bewijst dat GoldenJackal een geavanceerde bedreigingsactor is die de netwerksegmentatiestrategieën van zijn doelwitten begrijpt.