Rabattoffert för flera licenser
Hotdatabas Advanced Persistent Threat (APT) GoldenJackal Threat Skådespelare

GoldenJackal Threat Skådespelare

Med Mezo år Advanced Persistent Threat (APT)
Översätt till:
Svenska

En mindre känd hotaktör känd som GoldenJackal har associerats med en serie cyberattacker riktade mot ambassader och statliga organ, med avsikten att bryta mot luftgapsystem genom två distinkta anpassade verktygsuppsättningar.

Målen har inkluderat en sydasiatisk ambassad i Vitryssland och en statlig organisation inom Europeiska unionen (EU). GoldenJackals primära mål verkar vara stöld av känslig information, särskilt från högprofilerade system som kan förbli frånkopplade från Internet.

GoldenJackal har varit aktiv i flera år

GoldenJackal identifierades först i maj 2023, när forskare rapporterade hotklustrets attacker som riktar sig mot diplomatiska och statliga enheter i Mellanöstern och Sydasien. Gruppens verksamhet kan spåras tillbaka till åtminstone 2019. En anmärkningsvärd aspekt av dessa intrång är utplaceringen av en mask känd som JackalWorm, som kan infektera anslutna USB-enheter och leverera en trojan som kallas JackalControl.

Även om det inte finns tillräckligt med bevis för att definitivt associera dessa aktiviteter med ett visst nationalstatshot, finns det vissa taktiska likheter med skadliga verktyg som används i kampanjer som tillskrivs Turla och MoustachedBouncer, varav den senare också har fokuserat på utländska ambassader i Vitryssland.

Flera hot mot skadlig programvara utplacerade av GoldenJackal

Informationssäkerhetsexperter identifierade artefakter kopplade till GoldenJackal vid en sydasiatisk ambassad i Vitryssland under augusti och september 2019, med ytterligare upptäckter i juli 2021. Anmärkningsvärt är att hotaktören framgångsrikt distribuerade en fullständigt uppdaterad verktygsuppsättning mot en EU-myndighet mellan maj 2022 och mars 2024.

Den sofistikerade utvecklingen och implementeringen av två distinkta verktygsuppsättningar speciellt utformade för att kompromissa med luftgapsystem under fem år framhäver gruppens påhittighet.

Attacken på den sydasiatiska ambassaden i Vitryssland ska ha utnyttjat tre olika skadliga programfamiljer tillsammans med JackalControl, JackalSteal och JackalWorm:

  • GoldenDealer, som underlättar leveransen av körbara filer till system med luftgap genom komprometterade USB-enheter.
  • GoldenHowl, en modulär bakdörr som kan stöld av filer, skapa schemalagda uppgifter, ladda upp och ladda ner filer till och från en fjärrserver och upprätta en SSH-tunnel.
  • GoldenRobo, ett verktyg designat för filinsamling och dataexfiltrering.

Den nya uppsättningen av hotfulla verktyg som används vid attacker

Däremot har attackerna riktade mot den icke namngivna regeringsorganisationen i Europa använt en helt ny svit med skadlig programvara, främst skrivna i Go. Dessa verktyg är utformade för att samla in filer från USB-enheter, sprida skadlig programvara via USB-enheter, exfiltrera data och använda vissa maskinservrar som iscensättningsservrar för att distribuera nyttolaster till andra värdar:

  • GoldenUsbCopy och dess förbättrade efterföljare, GoldenUsbGo, som övervakar USB-enheter och kopierar filer för exfiltrering.
  • GoldenAce, som används för att sprida skadlig programvara, inklusive en lättviktsversion av JackalWorm, till andra system (inte nödvändigtvis luftgap) via USB-enheter.
  • GoldenBlacklist och dess Python-variant, GoldenPyBlacklist, som behandlar e-postmeddelanden av intresse för framtida exfiltrering.
  • GoldenMailer, som skickar insamlade data till angripare via e-post.
  • GoldenDrive, som laddar upp insamlad information till Google Drive.

För närvarande är det fortfarande oklart hur GoldenJackal initialt kompromissar med målmiljöer. Men forskare har tidigare föreslagit att trojaniserade Skype-installatörer och korrupta Microsoft Word-dokument kan fungera som potentiella ingångspunkter.

Hur går GoldenJackal-attackerna?

GoldenDealer, en gång installerad på en internetansluten dator genom en oidentifierad metod, aktiveras när en USB-enhet sätts in. Denna åtgärd resulterar i kopiering av sig själv och en okänd maskkomponent till den flyttbara enheten. Man tror att denna okända komponent körs när den infekterade USB-enheten ansluts till ett system med luftgap, varefter GoldenDealer samlar in information om maskinen och sparar den på USB-enheten.

När USB-enheten sätts in i den internetanslutna datorn, överför GoldenDealer informationen som är lagrad på enheten till en extern server, som sedan skickar tillbaka lämpliga nyttolaster för att exekveras på det luftgapsystem. Skadlig programvara är också ansvarig för att kopiera de nedladdade körbara filerna till USB-enheten. I det sista skedet, när enheten ansluts till den luftspärrade maskinen igen, kör GoldenDealer de kopierade körbara filerna.

Dessutom körs GoldenRobo på den internetanslutna datorn, designad för att hämta filer från USB-enheten och skicka dem till den angriparkontrollerade servern. Denna skadliga programvara, utvecklad i Go, har fått sitt namn från ett legitimt Windows-verktyg som heter robocopy, som det använder för att utföra filöverföringarna.

Hittills har forskare inte identifierat en separat modul som ansvarar för att överföra filer från den luftglappade datorn till själva USB-enheten.

Möjligheten att distribuera två distinkta verktygsuppsättningar för att kompromissa med luftglappade nätverk inom bara fem år visar att GoldenJackal är en sofistikerad hotaktör som förstår nätverkssegmenteringsstrategierna som används av dess mål.


Trendigt

Mest sedda

Läser in...