ГолденЈацкал Тхреат Ацтор
Мање познати актер претњи познат као ГолденЈацкал повезан је са серијом сајбер напада усмерених на амбасаде и владина тела, са намером да се пробије систем са ваздушним зазором кроз два различита прилагођена скупа алата.
Међу мете су биле амбасада Јужне Азије која се налази у Белорусији и владина организација у оквиру Европске уније (ЕУ). Чини се да је примарни циљ ГолденЈацкала крађа осетљивих информација, посебно из система високог профила који могу остати неповезани са Интернетом.
Преглед садржаја
ГолденЈацкал је активан годинама
ГолденЈацкал је први пут идентификован у мају 2023. године, када су истраживачи пријавили нападе кластера претњи који циљају на дипломатске и владине ентитете на Блиском истоку и у јужној Азији. Операције групе могу се пратити уназад до најмање 2019. Значајан аспект ових упада је примена црва познатог као ЈацкалВорм, који може да зарази повезане УСБ дискове и испоручи тројанац који се назива ЈацкалЦонтрол.
Иако нема довољно доказа да се ове активности дефинитивно повежу са одређеном претњом националне државе, постоје неке тактичке сличности са злонамерним алатима који се користе у кампањама које се приписују Турли и МоустацхедБоунцер-у, од којих се потоњи такође фокусирао на стране амбасаде у Белорусији.
ГолденЈацкал је поставио више претњи од злонамерног софтвера
Стручњаци за безбедност информација идентификовали су артефакте повезане са ГолденЈацкал-ом у јужноазијској амбасади у Белорусији током августа и септембра 2019. године, са даљим открићима у јулу 2021. Приметно је да је актер претње успешно применио потпуно ажурирани скуп алата против владиног ентитета Европске уније између маја 2022. и марта 2024.
Софистицираност приказана у развоју и примени два различита скупа алата посебно дизајнираних за компромитовање система са ваздушним зазором током пет година наглашава сналажљивост групе.
Напад на амбасаду Јужне Азије у Белорусији наводно је користио три различите породице малвера поред ЈацкалЦонтрол, ЈацкалСтеал и ЈацкалВорм:
- ГолденДеалер, који олакшава испоруку извршних датотека у системе са ваздушним размаком преко компромитованих УСБ дискова.
- ГолденХовл, модуларни бацкдоор способан за крађу датотека, креирање заказаних задатака, отпремање и преузимање датотека на и са удаљеног сервера и успостављање ССХ тунела.
- ГолденРобо, алатка дизајнирана за прикупљање датотека и ексфилтрацију података.
Нови сет претећих алата који се користе у нападима
Насупрот томе, напади усмерени на неименовану владину организацију у Европи користили су потпуно нови пакет алата за малвер првенствено написан у Го. Ови алати су дизајнирани да прикупљају датотеке са УСБ дискова, пропагирају злонамерни софтвер преко УСБ дискова, ексфилтрирају податке и користе одређене сервере машина као сервере за постављање за дистрибуцију терета другим хостовима:
- ГолденУсбЦопи и његов побољшани наследник, ГолденУсбГо, који надгледају УСБ дискове и копирају датотеке ради ексфилтрације.
- ГолденАце, који се користи за ширење злонамерног софтвера, укључујући лагану верзију ЈацкалВорм-а, на друге системе (не нужно са ваздушним зазором) преко УСБ дискова.
- ГолденБлацклист и његова Питхон варијанта, ГолденПиБлацклист, која обрађује поруке е-поште од интереса за будућу ексфилтрацију.
- ГолденМаилер, који сакупљене податке шаље нападачима путем е-поште.
- ГолденДриве, који отпрема прикупљене информације на Гоогле диск.
Тренутно, остаје нејасно како ГолденЈацкал у почетку компромитује циљна окружења. Међутим, истраживачи су раније сугерисали да тројанизовани програми за инсталацију Скајпа и оштећени Мицрософт Ворд документи могу послужити као потенцијалне улазне тачке.
Како се настављају напади ГолденЈацкал?
ГолденДеалер, једном инсталиран на рачунар повезан са Интернетом неидентификованим методом, активира се када се убаци УСБ диск. Ова радња доводи до копирања саме себе и непознате компоненте црва на уређај који се може уклонити. Верује се да се ова непозната компонента извршава када се заражени УСБ диск повеже на систем са ваздушним размаком, након чега ГолденДеалер прикупља информације о машини и чува их на УСБ диску.
Када се УСБ уређај поново убаци у рачунар повезан са Интернетом, ГолденДеалер преноси информације ускладиштене на диску на екстерни сервер, који затим шаље назад одговарајућа оптерећења да би се извршила на систему са ваздушним размаком. Злонамерни софтвер је такође одговоран за копирање преузетих извршних датотека на УСБ диск. У завршној фази, када се уређај поново повеже са машином са ваздушним размаком, ГолденДеалер извршава копиране извршне датотеке.
Поред тога, ГолденРобо ради на рачунару повезаном са Интернетом, дизајнираном да преузме датотеке са УСБ диска и пошаље их на сервер који контролише нападач. Овај злонамерни софтвер, развијен у Го, своје име добија од легитимног Виндовс услужног програма званог робоцопи, који користи за обављање преноса датотека.
До сада истраживачи нису идентификовали посебан модул одговоран за пренос датотека са рачунара са ваздушним отвором на сам УСБ диск.
Могућност примене два различита скупа алата за компромитовање мрежа са ваздушним размаком у року од само пет година показује да је ГолденЈацкал софистицирани актер претњи који разуме стратегије сегментације мреже које користе његови циљеви.
