Aktori i Kërcënimit të Xhakalit të Artë

Një aktor më pak i njohur kërcënimi i njohur si GoldenJackal është lidhur me një seri sulmesh kibernetike që synojnë ambasadat dhe organet qeveritare, me synimin për të shkelur sistemet me boshllëk ajri përmes dy grupeve të veglave të veçanta me porosi.

Objektivat kanë përfshirë një ambasadë të Azisë Jugore të vendosur në Bjellorusi dhe një organizatë qeveritare brenda Bashkimit Evropian (BE). Objektivi kryesor i GoldenJackal duket të jetë vjedhja e informacionit të ndjeshëm, veçanërisht nga sistemet e profilit të lartë që mund të mbeten të shkëputura nga interneti.

GoldenChackal ka qenë aktiv prej vitesh

GoldenJackal u identifikua për herë të parë në maj 2023, kur studiuesit raportuan sulmet e grupit të kërcënimeve që synojnë entitete diplomatike dhe qeveritare në Lindjen e Mesme dhe Azinë Jugore. Operacionet e grupit mund të gjurmohen të paktën në vitin 2019. Një aspekt i dukshëm i këtyre ndërhyrjeve është vendosja e një krimbi të njohur si JackalWorm, i cili mund të infektojë disqet USB të lidhur dhe të japë një trojan të referuar si JackalControl.

Ndërsa nuk ka prova të mjaftueshme për t'i lidhur përfundimisht këto aktivitete me një kërcënim të veçantë të shtetit-komb, ekzistojnë disa ngjashmëri taktike me mjetet keqdashëse të përdorura në fushatat që i atribuohen Turla dhe MoustachedBouncer, kjo e fundit është fokusuar edhe në ambasadat e huaja në Bjellorusi.

Kërcënime të shumta malware të vendosura nga GoldenJackal

Ekspertët e sigurisë së informacionit identifikuan artefakte të lidhura me GoldenJackal në një ambasadë të Azisë Jugore në Bjellorusi gjatë gushtit dhe shtatorit 2019, me zbulime të mëtejshme në korrik 2021. Veçanërisht, aktori i kërcënimit vendosi me sukses një grup mjetesh plotësisht të përditësuar kundër një entiteti qeveritar të Bashkimit Evropian midis majit 2022 dhe marsit 2024.

Sofistikimi i demonstruar në zhvillimin dhe vendosjen e dy grupeve të veglave të veçanta të krijuara posaçërisht për kompromentimin e sistemeve me boshllëk ajri gjatë pesë viteve, thekson shkathtësinë e grupit.

Sulmi në ambasadën e Azisë Jugore në Bjellorusi thuhet se përdori tre familje të ndryshme malware së bashku me JackalControl, JackalSteal dhe JackalWorm:

• GoldenDealer, i cili lehtëson shpërndarjen e skedarëve të ekzekutueshëm në sistemet me boshllëk ajri përmes disqeve USB të komprometuar.
• GoldenHowl, një derë e pasme modulare e aftë për vjedhjen e skedarëve, krijimin e detyrave të planifikuara, ngarkimin dhe shkarkimin e skedarëve në dhe nga një server në distancë dhe krijimin e një tuneli SSH.
• GoldenRobo, një mjet i krijuar për mbledhjen e skedarëve dhe nxjerrjen e të dhënave.

Grupi i ri i mjeteve kërcënuese të përdorura në sulme

Në të kundërt, sulmet që synojnë organizatën e paidentifikuar qeveritare në Evropë kanë përdorur një grup krejtësisht të ri të mjeteve malware të shkruara kryesisht në Go. Këto mjete janë krijuar për të mbledhur skedarë nga disqet USB, për të përhapur malware përmes disqeve USB, për të shfrytëzuar të dhëna dhe për të përdorur disa serverë makinerie si serverë vendosës për të shpërndarë ngarkesat e dobishme te hostet e tjerë:

• GoldenUsbCopy dhe pasardhësi i tij i përmirësuar, GoldenUsbGo, të cilët monitorojnë disqet USB dhe kopjojnë skedarët për ekfiltrim.
• GoldenAce, i cili përdoret për të shpërndarë malware, duke përfshirë një version të lehtë të JackalWorm, në sisteme të tjera (jo domosdoshmërisht me hapje ajri) përmes disqeve USB.
• GoldenBlacklist dhe varianti i saj Python, GoldenPyBlacklist, i cili përpunon mesazhet me email me interes për ekfiltrim në të ardhmen.
• GoldenMailer, i cili dërgon të dhënat e grumbulluara te sulmuesit me email.
• GoldenDrive, i cili ngarkon informacionin e mbledhur në Google Drive.

Aktualisht, mbetet e paqartë se si GoldenJackal komprometon fillimisht mjediset e synuara. Megjithatë, studiuesit kanë sugjeruar më parë se instaluesit e Skype të trojanizuar dhe dokumentet e korruptuara të Microsoft Word mund të shërbejnë si pika hyrëse të mundshme.

Si vazhdojnë Sulmet e Xhakallës së Artë?

GoldenDealer, pasi të instalohet në një kompjuter të lidhur me internetin nëpërmjet një metode të paidentifikuar, aktivizohet kur futet një disk USB. Ky veprim rezulton në kopjimin e vetvetes dhe të një komponenti të panjohur të krimbit në pajisjen e lëvizshme. Besohet se ky komponent i panjohur ekzekutohet kur disku USB i infektuar lidhet me një sistem me boshllëk ajri, pas së cilës GoldenDealer mbledh informacione rreth makinës dhe e ruan atë në diskun USB.

Kur pajisja USB rifutet në kompjuterin e lidhur me internetin, GoldenDealer transferon informacionin e ruajtur në disk në një server të jashtëm, i cili më pas dërgon ngarkesa të përshtatshme për t'u ekzekutuar në sistemin me hapje ajri. Malware është gjithashtu përgjegjës për kopjimin e ekzekutuesve të shkarkuar në diskun USB. Në fazën përfundimtare, kur pajisja lidhet përsëri me makinën me hapje ajri, GoldenDealer ekzekuton ekzekutuesit e kopjuar.

Për më tepër, GoldenRobo funksionon në një kompjuter të lidhur me internetin, i krijuar për të tërhequr skedarë nga disku USB dhe për t'i dërguar ato te serveri i kontrolluar nga sulmuesi. Ky malware, i zhvilluar në Go, e merr emrin e tij nga një program legjitim i Windows i quajtur robocopy, të cilin e përdor për të kryer transferimet e skedarëve.

Deri më tani, studiuesit nuk kanë identifikuar një modul të veçantë përgjegjës për transferimin e skedarëve nga kompjuteri me boshllëk ajri në vetë diskun USB.

Aftësia për të vendosur dy grupe mjetesh të dallueshme për kompromentimin e rrjeteve me boshllëk ajri brenda vetëm pesë viteve tregon se GoldenJackal është një aktor i sofistikuar kërcënimi që kupton strategjitë e segmentimit të rrjetit të përdorura nga objektivat e tij.