GoldenJackal ผู้คุกคาม
GoldenJackal ผู้ก่ออาชญากรรมคุกคามที่ไม่ค่อยมีใครรู้จัก มีความเกี่ยวข้องกับการโจมตีทางไซเบอร์หลายกรณีที่มุ่งเป้าไปที่สถานทูตและหน่วยงานของรัฐบาล โดยมีจุดประสงค์เพื่อเจาะระบบที่ไม่มีช่องทางเข้าถึงผ่านชุดเครื่องมือที่กำหนดเองสองชุด
เป้าหมายได้แก่สถานทูตเอเชียใต้ที่ตั้งอยู่ในเบลารุสและองค์กรรัฐบาลภายในสหภาพยุโรป (EU) วัตถุประสงค์หลักของ GoldenJackal ดูเหมือนว่าจะเป็นการขโมยข้อมูลที่ละเอียดอ่อน โดยเฉพาะจากระบบที่มีชื่อเสียงซึ่งอาจยังคงไม่เชื่อมต่อกับอินเทอร์เน็ต
สารบัญ
GoldenJackal ได้ดำเนินการมาเป็นเวลาหลายปีแล้ว
GoldenJackal ถูกระบุตัวตนครั้งแรกในเดือนพฤษภาคม 2023 เมื่อนักวิจัยรายงานการโจมตีของกลุ่มภัยคุกคามที่กำหนดเป้าหมายหน่วยงานทางการทูตและรัฐบาลในตะวันออกกลางและเอเชียใต้ ปฏิบัติการของกลุ่มนี้สามารถสืบย้อนไปได้ถึงอย่างน้อยในปี 2019 ลักษณะเด่นอย่างหนึ่งของการบุกรุกเหล่านี้คือการใช้เวิร์มที่รู้จักกันในชื่อ JackalWorm ซึ่งสามารถติดเชื้อไดรฟ์ USB ที่เชื่อมต่อและส่งโทรจันที่เรียกว่า JackalControl
แม้ว่าจะไม่มีหลักฐานเพียงพอที่จะเชื่อมโยงกิจกรรมเหล่านี้กับภัยคุกคามของรัฐชาติโดยเฉพาะได้อย่างเด็ดขาด แต่ก็ยังมีความคล้ายคลึงกันในเชิงกลยุทธ์กับเครื่องมืออันตรายที่ใช้ในแคมเปญที่เชื่อว่าเป็นของ Turla และ MoustachedBouncer ซึ่งกรณีหลังนี้มุ่งเน้นไปที่สถานทูตต่างประเทศในเบลารุสด้วย
GoldenJackal เผยแพร่ภัยคุกคามจากมัลแวร์หลายตัว
ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลได้ระบุสิ่งประดิษฐ์ที่เชื่อมโยงกับ GoldenJackal ในสถานทูตเอเชียใต้ในเบลารุสระหว่างเดือนสิงหาคมและกันยายน 2019 โดยมีการค้นพบเพิ่มเติมในเดือนกรกฎาคม 2021 โดยที่น่าสังเกตคือ ผู้ก่อภัยคุกคามสามารถนำชุดเครื่องมือที่อัปเดตใหม่ทั้งหมดไปใช้กับหน่วยงานของรัฐบาลสหภาพยุโรปได้สำเร็จระหว่างเดือนพฤษภาคม 2022 ถึงมีนาคม 2024
ความซับซ้อนที่แสดงให้เห็นในการพัฒนาและใช้งานชุดเครื่องมือที่แตกต่างกันสองชุดซึ่งออกแบบมาโดยเฉพาะเพื่อแก้ไขปัญหาระบบที่ไม่มีการเชื่อมต่อกันเป็นเวลาห้าปีเน้นย้ำถึงความคิดสร้างสรรค์ของกลุ่ม
รายงานระบุว่าการโจมตีสถานทูตเอเชียใต้ในเบลารุสใช้มัลแวร์สามตระกูลที่แตกต่างกันควบคู่ไปกับ JackalControl, JackalSteal และ JackalWorm:
- GoldenDealer ซึ่งอำนวยความสะดวกในการส่งมอบไฟล์ปฏิบัติการไปยังระบบที่ไม่มีการเชื่อมต่อผ่านไดรฟ์ USB ที่ถูกบุกรุก
- GoldenHowl แบ็คดอร์แบบโมดูลาร์ที่มีความสามารถในการขโมยไฟล์ สร้างงานตามกำหนดเวลา อัปโหลดและดาวน์โหลดไฟล์ไปและมาจากเซิร์ฟเวอร์ระยะไกล และสร้างอุโมงค์ SSH
- GoldenRobo เป็นเครื่องมือที่ออกแบบมาเพื่อการรวบรวมไฟล์และการแยกข้อมูล
ชุดเครื่องมือคุกคามใหม่ที่ใช้ในการโจมตี
ในทางกลับกัน การโจมตีที่กำหนดเป้าหมายไปที่องค์กรของรัฐบาลที่ไม่เปิดเผยชื่อในยุโรปได้ใช้ชุดเครื่องมือมัลแวร์ใหม่ทั้งหมดที่เขียนด้วยภาษา Go เป็นหลัก เครื่องมือเหล่านี้ได้รับการออกแบบมาเพื่อรวบรวมไฟล์จากไดรฟ์ USB แพร่กระจายมัลแวร์ผ่านไดรฟ์ USB ขโมยข้อมูล และใช้เซิร์ฟเวอร์เครื่องจักรบางเครื่องเป็นเซิร์ฟเวอร์สเตจจิ้งเพื่อแจกจ่ายเพย์โหลดไปยังโฮสต์อื่น:
- GoldenUsbCopy และโปรแกรมที่ได้รับการปรับปรุงคือ GoldenUsbGo ซึ่งทำหน้าที่ตรวจสอบไดรฟ์ USB และคัดลอกไฟล์เพื่อป้องกันการรั่วไหล
- GoldenAce ซึ่งใช้เพื่อเผยแพร่มัลแวร์ รวมถึง JackalWorm เวอร์ชันน้ำหนักเบา ไปยังระบบอื่น (ไม่จำเป็นต้องมีการเชื่อมต่อผ่านเครือข่าย) ผ่านทางไดรฟ์ USB
- GoldenBlacklist และ GoldenPyBlacklist ซึ่งเป็นโปรแกรม Python ที่ประมวลผลข้อความอีเมล์ที่น่าสนใจสำหรับการแอบขโมยข้อมูลในอนาคต
- GoldenMailer ซึ่งจะส่งข้อมูลที่รวบรวมได้ไปยังผู้โจมตีผ่านทางอีเมล
- GoldenDrive ซึ่งอัพโหลดข้อมูลที่รวบรวมไว้ไปยัง Google Drive
ปัจจุบันยังไม่ชัดเจนว่า GoldenJackal เข้ามาทำลายสภาพแวดล้อมเป้าหมายได้อย่างไรในตอนแรก อย่างไรก็ตาม นักวิจัยเคยเสนอแนะว่าโปรแกรมติดตั้ง Skype ที่มีโทรจันและเอกสาร Microsoft Word ที่เสียหายอาจเป็นจุดเข้าใช้งานที่อาจเกิดขึ้นได้
การโจมตีของ GoldenJackal ดำเนินไปอย่างไร?
GoldenDealer จะทำงานเมื่อติดตั้งบนคอมพิวเตอร์ที่เชื่อมต่ออินเทอร์เน็ตโดยใช้วิธีที่ไม่ระบุตัวตน เมื่อเสียบไดรฟ์ USB เข้าไป การกระทำดังกล่าวจะส่งผลให้มีการคัดลอกตัวเองและส่วนประกอบเวิร์มที่ไม่รู้จักไปยังอุปกรณ์แบบถอดได้ เชื่อกันว่าส่วนประกอบที่ไม่รู้จักนี้จะทำงานเมื่อเชื่อมต่อไดรฟ์ USB ที่ติดไวรัสเข้ากับระบบที่ไม่มีช่องว่างอากาศ หลังจากนั้น GoldenDealer จะรวบรวมข้อมูลเกี่ยวกับเครื่องและบันทึกลงในไดรฟ์ USB
เมื่อเสียบอุปกรณ์ USB เข้ากับคอมพิวเตอร์ที่เชื่อมต่ออินเทอร์เน็ต GoldenDealer จะถ่ายโอนข้อมูลที่จัดเก็บในไดรฟ์ไปยังเซิร์ฟเวอร์ภายนอก จากนั้นเซิร์ฟเวอร์จะส่งเพย์โหลดที่เหมาะสมกลับมาเพื่อเรียกใช้ในระบบที่ไม่มีการเชื่อมต่ออินเทอร์เน็ต มัลแวร์ยังรับผิดชอบในการคัดลอกไฟล์ปฏิบัติการที่ดาวน์โหลดมาไปยังไดรฟ์ USB ในขั้นตอนสุดท้าย เมื่ออุปกรณ์เชื่อมต่อกับเครื่องที่ไม่มีการเชื่อมต่ออินเทอร์เน็ตอีกครั้ง GoldenDealer จะดำเนินการไฟล์ปฏิบัติการที่คัดลอกมา
นอกจากนี้ GoldenRobo ยังทำงานบนพีซีที่เชื่อมต่ออินเทอร์เน็ต ซึ่งออกแบบมาเพื่อดึงไฟล์จากไดรฟ์ USB และส่งไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม มัลแวร์นี้ซึ่งพัฒนาด้วยภาษา Go ได้ชื่อมาจากยูทิลิตี้ Windows ที่ถูกกฎหมายที่เรียกว่า robocopy ซึ่งใช้ในการถ่ายโอนไฟล์
จนถึงขณะนี้ นักวิจัยยังไม่สามารถระบุโมดูลแยกต่างหากที่รับผิดชอบในการถ่ายโอนไฟล์จากคอมพิวเตอร์ที่ไม่มีช่องทางเชื่อมต่อไปยังไดรฟ์ USB ได้
ความสามารถในการใช้ชุดเครื่องมือที่แตกต่างกันสองชุดเพื่อเจาะเครือข่ายที่ไม่มีช่องทางเชื่อมต่อภายในเวลาเพียงห้าปีแสดงให้เห็นว่า GoldenJackal เป็นผู้ก่อภัยคุกคามที่มีความซับซ้อนและเข้าใจกลยุทธ์การแบ่งส่วนเครือข่ายที่ใช้โดยเป้าหมาย
