GoldenJackal Amenințare actor

Un actor de amenințare mai puțin cunoscut, cunoscut sub numele de GoldenJackal, a fost asociat cu o serie de atacuri cibernetice care vizează ambasade și organisme guvernamentale, cu intenția de a încălca sistemele cu decalaj prin două seturi de instrumente personalizate distincte.

Țintele au inclus o ambasadă a Asiei de Sud situată în Belarus și o organizație guvernamentală din cadrul Uniunii Europene (UE). Obiectivul principal al lui GoldenJackal pare să fie furtul de informații sensibile, în special din sistemele de mare profil care pot rămâne deconectate de la Internet.

GoldenJackal este activ de ani de zile

GoldenJackal a fost identificat pentru prima dată în mai 2023, când cercetătorii au raportat atacurile grupului de amenințări care vizează entități diplomatice și guvernamentale din Orientul Mijlociu și Asia de Sud. Operațiunile grupului pot fi urmărite cel puțin până în 2019. Un aspect notabil al acestor intruziuni este desfășurarea unui vierme cunoscut sub numele de JackalWorm, care poate infecta unitățile USB conectate și poate furniza un troian numit JackalControl.

Deși nu există suficiente dovezi care să asocieze definitiv aceste activități cu o anumită amenințare a statului național, există unele asemănări tactice cu instrumentele rău intenționate utilizate în campaniile atribuite lui Turla și MoustachedBouncer, dintre care ultima s-a concentrat și pe ambasadele străine din Belarus.

Mai multe amenințări malware implementate de GoldenJackal

Experții în securitatea informațiilor au identificat artefacte legate de GoldenJackal la o ambasadă a Asiei de Sud din Belarus în lunile august și septembrie 2019, cu descoperiri suplimentare în iulie 2021. În special, actorul amenințării a implementat cu succes un set de instrumente complet actualizat împotriva unei entități guvernamentale a Uniunii Europene între mai 2022 și martie. 2024.

Rafinamentul demonstrat în dezvoltarea și implementarea a două seturi de instrumente distincte special concepute pentru a compromite sistemele cu aer liber pe parcursul a cinci ani evidențiază ingeniozitatea grupului.

Atacul asupra ambasadei Asiei de Sud din Belarus a folosit trei familii diferite de programe malware alături de JackalControl, JackalSteal și JackalWorm:

• GoldenDealer, care facilitează livrarea de executabile către sistemele cu întrerupere prin unități USB compromise.
• GoldenHowl, o ușă din spate modulară capabilă să fure fișiere, să creeze sarcini programate, să încarce și să descarce fișiere către și de la un server la distanță și să creeze un tunel SSH.
• GoldenRobo, un instrument conceput pentru colectarea fișierelor și exfiltrarea datelor.

Noul set de instrumente amenințătoare utilizate în atacuri

În schimb, atacurile care vizează organizația guvernamentală fără nume din Europa au folosit o suită complet nouă de instrumente malware scrise în principal în Go. Aceste instrumente sunt concepute pentru a colecta fișiere de pe unități USB, pentru a propaga programe malware prin unități USB, pentru a exfiltra date și pentru a utiliza anumite servere de mașini ca servere de staging pentru a distribui încărcături utile către alte gazde:

• GoldenUsbCopy și succesorul său îmbunătățit, GoldenUsbGo, care monitorizează unitățile USB și copiază fișierele pentru exfiltrare.
• GoldenAce, care este folosit pentru a disemina programe malware, inclusiv o versiune ușoară a JackalWorm, către alte sisteme (nu neapărat cu aer liber) prin unități USB.
• GoldenBlacklist și varianta sa Python, GoldenPyBlacklist, care procesează mesajele de e-mail de interes pentru exfiltrare viitoare.
• GoldenMailer, care trimite datele culese atacatorilor prin e-mail.
• GoldenDrive, care încarcă informațiile culese pe Google Drive.

În prezent, rămâne neclar cum GoldenJackal compromite inițial mediile țintă. Cu toate acestea, cercetătorii au sugerat anterior că instalatorii Skype troieni și documentele Microsoft Word corupte pot servi ca potențiale puncte de intrare.

Cum decurg atacurile GoldenJackal?

GoldenDealer, odată instalat pe un computer conectat la Internet printr-o metodă neidentificată, se activează atunci când este introdusă o unitate USB. Această acțiune are ca rezultat copierea lui însuși și a unei componente necunoscute a viermelui pe dispozitivul detașabil. Se crede că această componentă necunoscută se execută atunci când unitatea USB infectată este conectată la un sistem cu aer liber, după care GoldenDealer colectează informații despre mașină și le salvează pe unitatea USB.

Atunci când dispozitivul USB este reintrodus în computerul conectat la internet, GoldenDealer transferă informațiile stocate pe unitatea pe un server extern, care apoi trimite înapoi încărcăturile utile adecvate pentru a fi executate pe sistemul cu aer întrefier. Malware-ul este, de asemenea, responsabil pentru copierea executabilelor descărcate pe unitatea USB. În etapa finală, când dispozitivul este conectat din nou la mașina cu aer întrefier, GoldenDealer execută executabilele copiate.

În plus, GoldenRobo rulează pe un computer conectat la Internet, conceput pentru a prelua fișiere de pe unitatea USB și a le trimite către serverul controlat de atacator. Acest malware, dezvoltat în Go, își trage numele dintr-un utilitar Windows legitim numit robocopy, pe care îl folosește pentru a efectua transferurile de fișiere.

Până acum, cercetătorii nu au identificat un modul separat responsabil pentru transferul fișierelor de pe computerul cu aer întrerupt pe unitatea USB în sine.

Capacitatea de a implementa două seturi de instrumente distincte pentru a compromite rețelele cu decalaj în doar cinci ani demonstrează că GoldenJackal este un actor sofisticat de amenințări care înțelege strategiile de segmentare a rețelei folosite de țintele sale.