Popust za več licenc
Podjetje o grožnjah Napredna trajna grožnja (APT) GoldenJackal Threat Actor

GoldenJackal Threat Actor

Do leta Mezo leta Napredna trajna grožnja (APT)
Prevedi v:
Slovenščina

Manj znani akter grožnje, znan kot GoldenJackal, je bil povezan s serijo kibernetskih napadov, usmerjenih na veleposlaništva in vladne organe, z namenom vdora v sisteme z zračno režo prek dveh različnih naborov orodij po meri.

Tarče so vključevale južnoazijsko veleposlaništvo v Belorusiji in vladno organizacijo v Evropski uniji (EU). Zdi se, da je primarni cilj GoldenJackala kraja občutljivih informacij, zlasti iz sistemov visokega profila, ki morda ostanejo nepovezani z internetom.

GoldenJackal je aktiven že leta

GoldenJackal je bil prvič identificiran maja 2023, ko so raziskovalci poročali o napadih skupine groženj, ki ciljajo na diplomatske in vladne subjekte na Bližnjem vzhodu in v Južni Aziji. Delovanje skupine je mogoče izslediti vsaj do leta 2019. Pomemben vidik teh vdorov je uvedba črva, znanega kot JackalWorm, ki lahko okuži povezane pogone USB in dostavi trojanca, imenovanega JackalControl.

Čeprav ni dovolj dokazov za dokončno povezavo teh dejavnosti z določeno grožnjo nacionalni državi, obstajajo nekatere taktične podobnosti z zlonamernimi orodji, uporabljenimi v kampanjah, pripisanih Turli in MoustachedBouncerju, od katerih se je slednji osredotočil tudi na tuja veleposlaništva v Belorusiji.

GoldenJackal uporablja več groženj zlonamerne programske opreme

Strokovnjaki za informacijsko varnost so avgusta in septembra 2019 na južnoazijskem veleposlaništvu v Belorusiji identificirali artefakte, povezane z GoldenJackalom, z nadaljnjimi odkritji julija 2021. Predvsem akter grožnje je med majem 2022 in marcem uspešno uvedel popolnoma posodobljen nabor orodij proti vladnemu subjektu Evropske unije. 2024.

Sofisticiranost, prikazana pri razvoju in uvajanju dveh različnih naborov orodij, posebej zasnovanih za ogrožanje sistemov z zračno režo v petih letih, poudarja iznajdljivost skupine.

Napad na južnoazijsko veleposlaništvo v Belorusiji naj bi poleg JackalControl, JackalSteal in JackalWorm uporabil tri različne družine zlonamerne programske opreme:

  • GoldenDealer, ki olajša dostavo izvršljivih datotek v sisteme z zračno režo prek ogroženih pogonov USB.
  • GoldenHowl, modularna stranska vrata, zmožna kraje datotek, ustvarjanja načrtovanih nalog, nalaganja in prenosa datotek na oddaljeni strežnik in z njega ter vzpostavitve tunela SSH.
  • GoldenRobo, orodje za zbiranje datotek in ekstrakcijo podatkov.

Nov nabor orodij za grožnje, ki se uporabljajo pri napadih

Nasprotno pa so napadi, usmerjeni na neimenovano vladno organizacijo v Evropi, uporabili popolnoma nov nabor orodij za zlonamerno programsko opremo, ki so bila v glavnem napisana v Go. Ta orodja so zasnovana za zbiranje datotek s pogonov USB, širjenje zlonamerne programske opreme prek pogonov USB, izločanje podatkov in uporabo določenih strojnih strežnikov kot vmesnih strežnikov za distribucijo tovora drugim gostiteljem:

  • GoldenUsbCopy in njegov izboljšani naslednik GoldenUsbGo, ki nadzirata pogone USB in kopirata datoteke za izločitev.
  • GoldenAce, ki se uporablja za širjenje zlonamerne programske opreme, vključno z lahko različico JackalWorm, v druge sisteme (ne nujno z zračno režo) prek pogonov USB.
  • GoldenBlacklist in njegova različica Python, GoldenPyBlacklist, ki obdeluje e-poštna sporočila, ki so zanimiva za prihodnje izrivanje.
  • GoldenMailer, ki zbrane podatke pošlje napadalcem po e-pošti.
  • GoldenDrive, ki nalaga zbrane informacije v Google Drive.

Trenutno ostaja nejasno, kako GoldenJackal sprva ogrozi ciljna okolja. Vendar pa so raziskovalci že prej predlagali, da so lahko trojanski namestitveni programi Skype in poškodovani dokumenti Microsoft Word kot potencialne vstopne točke.

Kako potekajo napadi GoldenJackala?

GoldenDealer, ko je nameščen na računalniku z internetno povezavo na neznan način, se aktivira, ko vstavite pogon USB. Posledica tega dejanja je kopiranje samega sebe in neznane komponente črva na odstranljivo napravo. Domneva se, da se ta neznana komponenta zažene, ko je okuženi pogon USB priključen na sistem z zračno režo, nato pa GoldenDealer zbere informacije o napravi in jih shrani na pogon USB.

Ko je naprava USB ponovno vstavljena v računalnik, povezan z internetom, GoldenDealer prenese informacije, shranjene na pogonu, na zunanji strežnik, ki nato pošlje nazaj ustrezne koristne obremenitve, ki se izvedejo v sistemu z zračno režo. Zlonamerna programska oprema je odgovorna tudi za kopiranje prenesenih izvršljivih datotek na pogon USB. V končni fazi, ko je naprava znova povezana s strojem z zračno režo, GoldenDealer izvede kopirane izvedljive datoteke.

Poleg tega GoldenRobo deluje na osebnem računalniku, povezanem z internetom, zasnovan tako, da pridobi datoteke s pogona USB in jih pošlje strežniku, ki ga nadzoruje napadalec. Ta zlonamerna programska oprema, razvita v Go, je dobila ime po zakonitem pripomočku Windows, imenovanem robocopy, ki ga uporablja za izvajanje prenosov datotek.

Doslej raziskovalci niso identificirali ločenega modula, ki bi bil odgovoren za prenos datotek iz računalnika z zračno režo na sam pogon USB.

Sposobnost uvajanja dveh različnih naborov orodij za ogrožanje omrežij z zračno vrzeljo v samo petih letih dokazuje, da je GoldenJackal prefinjen akter groženj, ki razume strategije segmentacije omrežja, ki jih uporabljajo njegovi cilji.


V trendu

Vzorci e-poštne prevare z izdelki

Lažno predstavljanje, Neželena pošta
Goljufi postajajo vse bolj ustvarjalni v svojih prizadevanjih, da bi zavajali nič hudega sluteče uporabnike interneta. Ena najpogostejših oblik napada je goljufija na podlagi e-pošte, kjer kibernetski kriminalci izdelajo prepričljiva sporočila, da prejemnike zavedejo v razkritje občutljivih informacij. Taktike, kot je e-poštna kampanja »Vzorci izdelka«, poudarjajo pomen ohranjanja pazljivosti...

Najbolj gledan

Nalaganje...