Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ameaça Persistente Avançada (APT) GoldenJackal Threat Actor

GoldenJackal Threat Actor

Por Mezo em Ameaça Persistente Avançada (APT)
Traduzir Para:
Português

Um agente de ameaças menos conhecido, denominado GoldenJackal, foi associado a uma série de ataques cibernéticos direcionados a embaixadas e órgãos governamentais, com a intenção de violar sistemas isolados por meio de dois conjuntos de ferramentas personalizados distintos.

Os alvos incluíram uma embaixada do Sul da Ásia localizada na Bielorrússia e uma organização governamental dentro da União Europeia (UE). O objetivo principal do GoldenJackal parece ser o roubo de informações sensíveis, particularmente de sistemas de alto perfil que podem permanecer desconectados da Internet.

O GoldenJackal está Ativo Há Anos

O GoldenJackal foi identificado pela primeira vez em maio de 2023, quando pesquisadores relataram os ataques do cluster de ameaças que têm como alvo entidades diplomáticas e governamentais no Oriente Médio e no Sul da Ásia. As operações do grupo podem ser rastreadas até pelo menos 2019. Um aspecto notável dessas intrusões é a implantação de um worm conhecido como JackalWorm, que pode infectar unidades USB conectadas e entregar um trojan conhecido como JackalControl.

Embora não haja evidências suficientes para associar definitivamente essas atividades a uma ameaça específica de estado-nação, existem algumas semelhanças táticas com ferramentas maliciosas utilizadas em campanhas atribuídas ao Turla e ao MoustachedBouncer, este último também focado em embaixadas estrangeiras na Bielorrússia.

Várias Ameaças de Malware Implantadas pelo GoldenJackal

Especialistas em segurança da informação identificaram artefatos vinculados ao GoldenJackal em uma embaixada do Sul da Ásia na Bielorrússia durante agosto e setembro de 2019, com novas descobertas em julho de 2021. Notavelmente, o agente da ameaça implantou com sucesso um conjunto de ferramentas completamente atualizado contra uma entidade governamental da União Europeia entre maio de 2022 e março de 2024.

A sofisticação demonstrada no desenvolvimento e na implantação de dois conjuntos de ferramentas distintos, projetados especificamente para comprometer sistemas com isolamento de ar ao longo de cinco anos, destaca a desenvoltura do grupo.

O ataque à embaixada do Sul da Ásia na Bielorrússia teria utilizado três famílias diferentes de malware, além de JackalControl, JackalSteal e JackalWorm:

  • GoldenDealer, que facilita a entrega de executáveis para sistemas com air-gapped por meio de unidades USB comprometidas.
  • GoldenHowl, um backdoor modular capaz de roubar arquivos, criar tarefas agendadas, carregar e baixar arquivos de e para um servidor remoto e estabelecer um túnel SSH.
  • GoldenRobo, uma ferramenta projetada para coleta de arquivos e exfiltração de dados.

O Novo Conjunto de Ferramentas Ameaçadoras Usadas em Ataques

Em contraste, os ataques direcionados à organização governamental não identificada na Europa empregaram um conjunto completamente novo de ferramentas de malware escritas principalmente em Go. Essas ferramentas são projetadas para coletar arquivos de drives USB, propagar malware via drives USB, exfiltrar dados e utilizar certos servidores de máquina como servidores de preparação para distribuir payloads para outros hosts:

  • GoldenUsbCopy e seu sucessor aprimorado, GoldenUsbGo, que monitoram unidades USB e copiam arquivos para exfiltração.
  • GoldenAce, que é usado para disseminar malware, incluindo uma versão leve do JackalWorm, para outros sistemas (não necessariamente isolados) por meio de unidades USB.
  • GoldenBlacklist e sua variante Python, GoldenPyBlacklist, que processa mensagens de e-mail de interesse para futura exfiltração.
  • GoldenMailer, que envia os dados coletados aos invasores por e-mail.
  • GoldenDrive, que carrega as informações coletadas no Google Drive.

Atualmente, ainda não está claro como o GoldenJackal compromete inicialmente os ambientes de destino. No entanto, pesquisadores sugeriram anteriormente que instaladores trojanizados do Skype e documentos corrompidos do Microsoft Word podem servir como potenciais pontos de entrada.

Como Ocorrem os Ataques do GoldenJackal?

GoldenDealer, uma vez instalado em um computador conectado à Internet por meio de um método não identificado, ativa quando uma unidade USB é inserida. Essa ação resulta na cópia de si mesmo e de um componente de worm desconhecido no dispositivo removível. Acredita-se que esse componente desconhecido seja executado quando a unidade USB infectada é conectada a um sistema air-gapped, após o qual o GoldenDealer coleta informações sobre a máquina e as salva na unidade USB.

Quando o dispositivo USB é reinserido no computador conectado à Internet, o GoldenDealer transfere as informações armazenadas na unidade para um servidor externo, que então envia de volta cargas úteis adequadas para serem executadas no sistema air-gapped. O malware também é responsável por copiar os executáveis baixados para a unidade USB. No estágio final, quando o dispositivo é conectado à máquina air-gapped novamente, o GoldenDealer executa os executáveis copiados.

Além disso, o GoldenRobo roda no PC conectado à Internet, projetado para recuperar arquivos da unidade USB e enviá-los ao servidor controlado pelo invasor. Este malware, desenvolvido em Go, deriva seu nome de um utilitário legítimo do Windows chamado robocopy, que ele usa para executar as transferências de arquivos.

Até agora, os pesquisadores não identificaram um módulo separado responsável pela transferência de arquivos do computador isolado para a própria unidade USB.

A capacidade de implementar dois conjuntos de ferramentas distintos para comprometer redes isoladas em apenas cinco anos demonstra que o GoldenJackal é um agente de ameaças sofisticado que entende as estratégias de segmentação de rede empregadas por seus alvos.

 

Tendendo

Mais visto

Carregando...