Oferta rabatowa na wiele licencji
Baza danych zagrożeń Zaawansowane trwałe zagrożenie (APT) Aktor zagrożenia GoldenJackal

Aktor zagrożenia GoldenJackal

Do Mezo w Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:
Polski

Mniej znany podmiot stanowiący zagrożenie, znany jako GoldenJackal, jest powiązany z serią cyberataków wymierzonych w ambasady i instytucje rządowe. Ich celem było włamanie się do odizolowanych od Internetu systemów za pomocą dwóch różnych zestawów narzędzi.

Wśród celów znalazła się ambasada Azji Południowej na Białorusi i organizacja rządowa w Unii Europejskiej (UE). Głównym celem GoldenJackal wydaje się być kradzież poufnych informacji, szczególnie z popularnych systemów, które mogą pozostać odłączone od Internetu.

GoldenJackal jest aktywny od lat

GoldenJackal został po raz pierwszy zidentyfikowany w maju 2023 r., kiedy badacze poinformowali o atakach klastra zagrożeń, które są wymierzone w podmioty dyplomatyczne i rządowe na Bliskim Wschodzie i w Azji Południowej. Działania grupy można prześledzić co najmniej do 2019 r. Godnym uwagi aspektem tych włamań jest wdrożenie robaka znanego jako JackalWorm, który może zainfekować podłączone dyski USB i dostarczyć trojana o nazwie JackalControl.

Chociaż nie ma wystarczających dowodów, aby jednoznacznie powiązać te działania z zagrożeniem dla konkretnego państwa, można zauważyć pewne podobieństwa taktyczne do złośliwych narzędzi wykorzystywanych w kampaniach przypisywanych grupom Turla i MoustachedBouncer, z których druga również koncentrowała się na ambasadach zagranicznych na Białorusi.

Wiele zagrożeń malware wdrożonych przez GoldenJackal

Eksperci ds. bezpieczeństwa informacji zidentyfikowali artefakty powiązane z GoldenJackal w ambasadzie Azji Południowej na Białorusi w sierpniu i wrześniu 2019 r., a kolejne odkrycia miały miejsce w lipcu 2021 r. Co ciekawe, sprawca zagrożenia pomyślnie wdrożył całkowicie zaktualizowany zestaw narzędzi przeciwko podmiotowi rządowemu Unii Europejskiej w okresie od maja 2022 r. do marca 2024 r.

Wyrafinowanie wykazane w ciągu pięciu lat przy opracowywaniu i wdrażaniu dwóch odrębnych zestawów narzędzi zaprojektowanych specjalnie do atakowania systemów odizolowanych od sieci podkreśla pomysłowość grupy.

W ataku na ambasadę Azji Południowej na Białorusi wykorzystano podobno trzy różne rodziny złośliwego oprogramowania, obok JackalControl, JackalSteal i JackalWorm:

  • GoldenDealer, który ułatwia dostarczanie plików wykonywalnych do systemów odizolowanych od sieci za pomocą zainfekowanych dysków USB.
  • GoldenHowl, modułowy backdoor umożliwiający kradzież plików, tworzenie zaplanowanych zadań, przesyłanie i pobieranie plików ze zdalnego serwera oraz tworzenie tunelu SSH.
  • GoldenRobo, narzędzie przeznaczone do gromadzenia plików i eksfiltracji danych.

Nowy zestaw groźnych narzędzi wykorzystywanych w atakach

Natomiast ataki na nienazwaną organizację rządową w Europie wykorzystywały zupełnie nowy zestaw narzędzi malware, napisanych głównie w Go. Narzędzia te są przeznaczone do zbierania plików z dysków USB, rozprzestrzeniania malware za pośrednictwem dysków USB, eksfiltracji danych i wykorzystywania niektórych serwerów maszynowych jako serwerów przejściowych do dystrybucji ładunków do innych hostów:

  • GoldenUsbCopy i jego ulepszona wersja, GoldenUsbGo, monitorują dyski USB i kopiują pliki w celu ich eksfiltracji.
  • GoldenAce służy do rozprzestrzeniania złośliwego oprogramowania, w tym lekkiej wersji JackalWorm, na inne systemy (niekoniecznie odizolowane od sieci) za pośrednictwem dysków USB.
  • GoldenBlacklist i jego wariant w języku Python, GoldenPyBlacklist, który przetwarza interesujące wiadomości e-mail w celu ich późniejszej eksfiltracji.
  • GoldenMailer, który wysyła zebrane dane atakującym za pośrednictwem poczty elektronicznej.
  • GoldenDrive, który przesyła zebrane informacje do Dysku Google.

Obecnie nie jest jasne, w jaki sposób GoldenJackal początkowo narusza środowiska docelowe. Jednak badacze wcześniej sugerowali, że trojanizowane instalatory Skype'a i uszkodzone dokumenty Microsoft Word mogą służyć jako potencjalne punkty wejścia.

Jak przebiegają ataki szakali złocistych?

GoldenDealer, po zainstalowaniu na komputerze podłączonym do Internetu za pomocą niezidentyfikowanej metody, aktywuje się po włożeniu dysku USB. Ta akcja powoduje skopiowanie samego siebie i nieznanego komponentu robaka na urządzenie wymienne. Uważa się, że ten nieznany komponent uruchamia się, gdy zainfekowany dysk USB jest podłączony do systemu z izolacją powietrzną, po czym GoldenDealer zbiera informacje o maszynie i zapisuje je na dysku USB.

Gdy urządzenie USB zostanie ponownie włożone do komputera podłączonego do Internetu, GoldenDealer przesyła informacje zapisane na dysku do zewnętrznego serwera, który następnie odsyła odpowiednie ładunki do wykonania w systemie z izolacją powietrzną. Złośliwe oprogramowanie jest również odpowiedzialne za kopiowanie pobranych plików wykonywalnych na dysk USB. Na ostatnim etapie, gdy urządzenie zostanie ponownie podłączone do komputera z izolacją powietrzną, GoldenDealer wykonuje skopiowane pliki wykonywalne.

Ponadto GoldenRobo działa na komputerze podłączonym do Internetu, zaprojektowanym do pobierania plików z dysku USB i wysyłania ich do serwera kontrolowanego przez atakującego. To złośliwe oprogramowanie, opracowane w Go, wywodzi swoją nazwę od legalnego narzędzia Windows o nazwie robocopy, którego używa do wykonywania transferów plików.

Jak dotąd badacze nie zidentyfikowali oddzielnego modułu odpowiedzialnego za przesyłanie plików z odizolowanego od sieci komputera na właściwy dysk USB.

Możliwość wdrożenia dwóch odrębnych zestawów narzędzi do włamywania się do odizolowanych od Internetu sieci w ciągu zaledwie pięciu lat dowodzi, że GoldenJackal to wyrafinowany podmiot atakujący, który rozumie strategie segmentacji sieci stosowane przez swoje cele.


Popularne

Przykłady oszustw e-mailowych dotyczących produktów

Phishing, Spam
Oszuści stają się coraz bardziej kreatywni w swoich wysiłkach, aby oszukać niczego niepodejrzewających użytkowników Internetu. Jedną z najczęstszych form ataków jest oszustwo oparte na poczcie e-mail, w którym cyberprzestępcy tworzą przekonujące wiadomości, aby nakłonić odbiorców do ujawnienia poufnych informacji. Taktyki takie jak kampania e-mailowa „Samples Of The Product” podkreślają...

Najczęściej oglądane

Ładowanie...