GoldenJackal Угроза Актер

Менее известная группа злоумышленников, известная как GoldenJackal, была связана с серией кибератак, направленных на посольства и правительственные органы, с целью взлома изолированных систем с помощью двух различных специализированных наборов инструментов.

Целями были посольство Южной Азии в Беларуси и правительственная организация в Европейском союзе (ЕС). Основной целью GoldenJackal, по-видимому, является кража конфиденциальной информации, особенно из высококлассных систем, которые могут оставаться отключенными от Интернета.

GoldenJackal активен уже много лет

GoldenJackal был впервые обнаружен в мае 2023 года, когда исследователи сообщили об атаках кластера угроз, нацеленных на дипломатические и правительственные учреждения на Ближнем Востоке и в Южной Азии. Операции группы можно проследить как минимум до 2019 года. Примечательным аспектом этих вторжений является развертывание червя, известного как JackalWorm, который может заражать подключенные USB-накопители и доставлять троян, называемый JackalControl.

Хотя нет достаточных доказательств, позволяющих однозначно связать эти действия с конкретной угрозой национальному государству, существуют некоторые тактические сходства с вредоносными инструментами, используемыми в кампаниях, приписываемых Turla и MoustachedBouncer, последняя из которых также была сосредоточена на иностранных посольствах в Беларуси.

GoldenJackal развернул множество вредоносных угроз

Эксперты по информационной безопасности обнаружили артефакты, связанные с GoldenJackal, в посольстве Южной Азии в Беларуси в августе и сентябре 2019 года, а в июле 2021 года были обнаружены новые артефакты. Примечательно, что злоумышленник успешно применил полностью обновленный набор инструментов против правительственного учреждения Европейского Союза в период с мая 2022 года по март 2024 года.

Продемонстрированная на протяжении пяти лет сложность разработки и внедрения двух различных наборов инструментов, специально предназначенных для взлома изолированных систем, подчеркивает изобретательность группы.

Сообщается, что в атаке на посольство Южной Азии в Беларуси использовались три различных семейства вредоносных программ, а также JackalControl, JackalSteal и JackalWorm:

• GoldenDealer, который обеспечивает доставку исполняемых файлов в изолированные системы через взломанные USB-накопители.
• GoldenHowl — модульный бэкдор, способный кражу файлов, создание запланированных задач, загрузку и выгрузку файлов на удаленный сервер и с него, а также создание SSH-туннеля.
• GoldenRobo — инструмент, предназначенный для сбора файлов и кражи данных.

Новый набор угрожающих инструментов, используемых при атаках

Напротив, атаки, нацеленные на неназванную правительственную организацию в Европе, использовали совершенно новый набор вредоносных инструментов, написанных в основном на Go. Эти инструменты предназначены для сбора файлов с USB-накопителей, распространения вредоносного ПО через USB-накопители, эксфильтрации данных и использования определенных серверов машин в качестве промежуточных серверов для распространения полезных нагрузок на другие хосты:

• GoldenUsbCopy и его усовершенствованная версия GoldenUsbGo, которые отслеживают USB-накопители и копируют файлы на предмет утечки.
• GoldenAce, который используется для распространения вредоносного ПО, включая облегченную версию JackalWorm, на другие системы (не обязательно изолированные) через USB-накопители.
• GoldenBlacklist и его вариант на Python, GoldenPyBlacklist, который обрабатывает сообщения электронной почты, представляющие интерес для будущей утечки.
• GoldenMailer, который отправляет собранные данные злоумышленникам по электронной почте.
• GoldenDrive, который загружает собранную информацию на Google Диск.

В настоящее время остается неясным, как GoldenJackal изначально компрометирует целевые среды. Однако ранее исследователи предполагали, что троянизированные установщики Skype и поврежденные документы Microsoft Word могут служить потенциальными точками входа.

Как происходят атаки Золотого Шакала?

GoldenDealer, установленный на подключенном к Интернету компьютере с помощью неизвестного метода, активируется при вставке USB-накопителя. Это действие приводит к копированию себя и неизвестного компонента червя на съемное устройство. Считается, что этот неизвестный компонент выполняется, когда зараженный USB-накопитель подключается к изолированной системе, после чего GoldenDealer собирает информацию о машине и сохраняет ее на USB-накопитель.

Когда USB-устройство снова вставляется в подключенный к Интернету компьютер, GoldenDealer переносит информацию, хранящуюся на диске, на внешний сервер, который затем отправляет обратно подходящие полезные данные для выполнения в изолированной системе. Вредоносная программа также отвечает за копирование загруженных исполняемых файлов на USB-накопитель. На последнем этапе, когда устройство снова подключается к изолированной машине, GoldenDealer запускает скопированные исполняемые файлы.

Кроме того, GoldenRobo работает на подключенном к Интернету ПК, предназначенном для извлечения файлов с USB-накопителя и отправки их на контролируемый злоумышленником сервер. Эта вредоносная программа, разработанная на Go, получила свое название от легитимной утилиты Windows под названием robocopy, которую она использует для передачи файлов.

До сих пор исследователи не выявили отдельный модуль, отвечающий за передачу файлов с изолированного от сети компьютера на сам USB-накопитель.

Способность развернуть два различных набора инструментов для взлома изолированных сетей всего за пять лет демонстрирует, что GoldenJackal — это сложный злоумышленник, который понимает стратегии сегментации сетей, используемые его целями.