GoldenJackal Threat Actor

Ang isang hindi gaanong kilalang threat actor na kilala bilang GoldenJackal ay iniugnay sa isang serye ng mga cyberattack na naglalayong sa mga embahada at mga katawan ng pamahalaan, na may layuning labagin ang mga air-gapped system sa pamamagitan ng dalawang natatanging custom na toolset.

Kasama sa mga target ang isang South Asian embassy na matatagpuan sa Belarus at isang organisasyon ng gobyerno sa loob ng European Union (EU). Ang pangunahing layunin ng GoldenJackal ay lumilitaw na ang pagnanakaw ng sensitibong impormasyon, lalo na mula sa mga high-profile system na maaaring manatiling hindi nakakonekta sa Internet.

Ang GoldenJackal ay Aktibo sa loob ng maraming taon

Unang nakilala ang GoldenJackal noong Mayo 2023, nang iulat ng mga mananaliksik ang mga pag-atake ng cluster ng banta na nagta-target ng mga entity ng diplomatiko at pamahalaan sa Middle East at South Asia. Ang mga operasyon ng grupo ay maaaring masubaybayan sa hindi bababa sa 2019. Ang isang kapansin-pansing aspeto ng mga panghihimasok na ito ay ang pag-deploy ng isang worm na kilala bilang JackalWorm, na maaaring makahawa sa mga konektadong USB drive at maghatid ng isang trojan na tinutukoy bilang JackalControl.

Bagama't walang sapat na katibayan upang tiyak na iugnay ang mga aktibidad na ito sa isang partikular na banta ng bansa-estado, may ilang taktikal na pagkakatulad sa mga nakakahamak na tool na ginagamit sa mga kampanyang iniuugnay kay Turla at MoustachedBouncer, na ang huli ay nakatuon din sa mga dayuhang embahada sa Belarus.

Maramihang Mga Banta sa Malware na Ini-deploy ng GoldenJackal

Tinukoy ng mga eksperto sa seguridad ng impormasyon ang mga artifact na naka-link sa GoldenJackal sa isang South Asian embassy sa Belarus noong Agosto at Setyembre 2019, na may mga karagdagang pagtuklas noong Hulyo 2021. Kapansin-pansin, matagumpay na nai-deploy ng threat actor ang isang ganap na na-update na toolset laban sa isang entity ng gobyerno ng European Union sa pagitan ng Mayo 2022 at Marso 2024.

Ang pagiging sopistikado na ipinakita sa pagbuo at pag-deploy ng dalawang natatanging toolset na partikular na idinisenyo para sa pagkompromiso sa mga air-gapped system sa loob ng limang taon ay nagha-highlight sa pagiging maparaan ng grupo.

Ang pag-atake sa South Asian embassy sa Belarus ay iniulat na gumamit ng tatlong magkakaibang pamilya ng malware kasama ang JackalControl, JackalSteal at JackalWorm:

• GoldenDealer, na nagpapadali sa paghahatid ng mga executable sa mga air-gapped system sa pamamagitan ng mga nakompromisong USB drive.
• GoldenHowl, isang modular backdoor na may kakayahang magnakaw ng file, lumikha ng mga naka-iskedyul na gawain, mag-upload at mag-download ng mga file papunta at mula sa isang malayong server, at magtatag ng isang SSH tunnel.
• GoldenRobo, isang tool na idinisenyo para sa pagkolekta ng file at pag-exfiltrate ng data.

Ang Bagong Set ng Mga Tool sa Pagbabanta na Ginamit sa Mga Pag-atake

Sa kabaligtaran, ang mga pag-atake na nagta-target sa hindi pinangalanang organisasyon ng gobyerno sa Europe ay gumamit ng isang ganap na bagong hanay ng mga tool sa malware na pangunahing nakasulat sa Go. Ang mga tool na ito ay idinisenyo upang mangolekta ng mga file mula sa mga USB drive, magpalaganap ng malware sa pamamagitan ng mga USB drive, mag-exfiltrate ng data, at gumamit ng ilang partikular na server ng makina bilang mga staging server upang ipamahagi ang mga payload sa iba pang mga host:

• GoldenUsbCopy at ang pinahusay na kahalili nito, GoldenUsbGo, na sumusubaybay sa mga USB drive at kumopya ng mga file para sa exfiltration.
• GoldenAce, na ginagamit upang ipakalat ang malware, kabilang ang isang magaan na bersyon ng JackalWorm, sa iba pang mga system (hindi kinakailangang air-gapped) sa pamamagitan ng mga USB drive.
• GoldenBlacklist at ang variant nitong Python, GoldenPyBlacklist, na nagpoproseso ng mga email na mensahe ng interes para sa exfiltration sa hinaharap.
• GoldenMailer, na nagpapadala ng na-harvest na data sa mga attacker sa pamamagitan ng email.
• GoldenDrive, na nag-a-upload ng na-harvest na impormasyon sa Google Drive.

Sa kasalukuyan, nananatiling hindi malinaw kung paano unang nakompromiso ng GoldenJackal ang mga target na kapaligiran. Gayunpaman, iminungkahi ng mga mananaliksik na ang mga naka-trojan na Skype installer at mga sira na dokumento ng Microsoft Word ay maaaring magsilbing mga potensyal na entry point.

Paano Nagpapatuloy ang GoldenJackal Attacks?

Ang GoldenDealer, kapag na-install sa isang computer na nakakonekta sa Internet sa pamamagitan ng hindi kilalang pamamaraan, ay nag-a-activate kapag may napasok na USB drive. Ang pagkilos na ito ay nagreresulta sa pagkopya ng sarili nito at isang hindi kilalang bahagi ng worm papunta sa naaalis na device. Ito ay pinaniniwalaan na ang hindi kilalang sangkap na ito ay gumagana kapag ang nahawaang USB drive ay konektado sa isang air-gapped system, pagkatapos nito ay kinokolekta ng GoldenDealer ang impormasyon tungkol sa makina at ini-save ito sa USB drive.

Kapag naipasok muli ang USB device sa computer na nakakonekta sa Internet, inililipat ng GoldenDealer ang impormasyong nakaimbak sa drive sa isang external na server, na pagkatapos ay nagpapadala ng mga angkop na payload na ipapatupad sa air-gapped system. Responsable din ang malware sa pagkopya ng mga na-download na executable sa USB drive. Sa huling yugto, kapag nakakonekta muli ang device sa air-gapped na makina, isasagawa ng GoldenDealer ang mga kinopyang executable.

Bukod pa rito, tumatakbo ang GoldenRobo sa PC na nakakonekta sa Internet, na idinisenyo upang kunin ang mga file mula sa USB drive at ipadala ang mga ito sa server na kinokontrol ng attacker. Ang malware na ito, na binuo sa Go, ay nagmula sa pangalan nito mula sa isang lehitimong Windows utility na tinatawag na robocopy, na ginagamit nito upang maisagawa ang mga paglilipat ng file.

Sa ngayon, hindi pa natukoy ng mga mananaliksik ang isang hiwalay na module na responsable para sa paglilipat ng mga file mula sa air-gapped na computer patungo sa USB drive mismo.

Ang kakayahang mag-deploy ng dalawang natatanging toolset para sa pagkompromiso sa mga air-gapped na network sa loob lamang ng limang taon ay nagpapakita na ang GoldenJackal ay isang sopistikadong threat actor na nauunawaan ang mga diskarte sa segmentasyon ng network na ginagamit ng mga target nito.