AltınÇakal Tehdit Aktörü
GoldenJackal olarak bilinen ve daha az bilinen bir tehdit aktörü, iki farklı özel araç seti aracılığıyla hava boşluklu sistemlere sızmayı amaçlayan, büyükelçiliklere ve hükümet organlarına yönelik bir dizi siber saldırıyla ilişkilendirildi.
Hedefler arasında Belarus'ta bulunan bir Güney Asya elçiliği ve Avrupa Birliği (AB) içindeki bir hükümet kuruluşu yer alıyor. GoldenJackal'ın birincil hedefi, özellikle İnternet'ten bağlantısız kalabilecek yüksek profilli sistemlerden hassas bilgilerin çalınması gibi görünüyor.
İçindekiler
GoldenJackal Yıllardır Aktif
GoldenJackal ilk olarak Mayıs 2023'te araştırmacıların tehdit kümesinin Orta Doğu ve Güney Asya'daki diplomatik ve hükümet kuruluşlarını hedef alan saldırılarını bildirmesiyle tanımlandı. Grubun operasyonları en azından 2019'a kadar uzanıyor. Bu saldırıların dikkat çekici bir yönü, bağlı USB sürücüleri enfekte edebilen ve JackalControl olarak adlandırılan bir trojan gönderebilen JackalWorm olarak bilinen bir solucanın konuşlandırılmasıdır.
Bu faaliyetleri kesin olarak belirli bir ulus-devlet tehdidiyle ilişkilendirmeye yetecek kadar kanıt olmasa da, Turla ve MoustachedBouncer'a atfedilen kampanyalarda kullanılan kötü amaçlı araçlarla bazı taktiksel benzerlikler bulunmaktadır; bunlardan ikincisi de Belarus'taki yabancı elçiliklere odaklanmıştır.
GoldenJackal Tarafından Dağıtılan Çoklu Kötü Amaçlı Yazılım Tehditleri
Bilgi güvenliği uzmanları, Ağustos ve Eylül 2019'da Belarus'taki bir Güney Asya elçiliğinde GoldenJackal ile bağlantılı eserler tespit etti ve Temmuz 2021'de daha fazla keşif yapıldı. Özellikle, tehdit aktörü Mayıs 2022 ile Mart 2024 arasında bir Avrupa Birliği hükümet kuruluşuna karşı tamamen güncellenmiş bir araç setini başarıyla konuşlandırdı.
Grubun, hava boşluklu sistemleri tehlikeye atmak için özel olarak tasarlanmış iki ayrı araç setini beş yıl boyunca geliştirme ve dağıtma konusunda gösterdiği karmaşıklık, becerikliliğini ortaya koyuyor.
Belarus'taki Güney Asya Büyükelçiliği'ne yapılan saldırıda JackalControl, JackalSteal ve JackalWorm'un yanı sıra üç farklı kötü amaçlı yazılım ailesinin kullanıldığı bildirildi:
- Tehlikeye atılmış USB sürücüler aracılığıyla yürütülebilir dosyaların hava boşluklu sistemlere iletilmesini kolaylaştıran GoldenDealer.
- Dosya hırsızlığı yapabilen, zamanlanmış görevler oluşturabilen, uzak bir sunucuya dosya yükleyip indirebilen ve SSH tüneli kurabilen modüler bir arka kapı olan GoldenHowl.
- GoldenRobo, dosya toplama ve veri sızdırma için tasarlanmış bir araçtır.
Saldırılarda Kullanılan Yeni Tehdit Araçları Seti
Buna karşılık, Avrupa'daki isimsiz hükümet kuruluşunu hedef alan saldırılar, esas olarak Go'da yazılmış tamamen yeni bir kötü amaçlı yazılım araçları paketi kullandı. Bu araçlar, USB sürücülerden dosya toplamak, USB sürücüler aracılığıyla kötü amaçlı yazılım yaymak, verileri sızdırmak ve yükleri diğer ana bilgisayarlara dağıtmak için belirli makine sunucularını sahneleme sunucuları olarak kullanmak üzere tasarlanmıştır:
- USB sürücüleri izleyen ve sızdırma amacıyla dosyaları kopyalayan GoldenUsbCopy ve onun geliştirilmiş halefi GoldenUsbGo.
- JackalWorm'un hafif bir versiyonu da dahil olmak üzere kötü amaçlı yazılımları USB sürücüler aracılığıyla diğer sistemlere (mutlaka hava boşluğu olmayan) yaymak için kullanılan GoldenAce.
- İlgi çekici e-posta mesajlarını gelecekte sızdırılmak üzere işleyen GoldenBlacklist ve onun Python versiyonu GoldenPyBlacklist.
- Hasat edilen verileri e-posta yoluyla saldırganlara gönderen GoldenMailer.
- Toplanan bilgileri Google Drive'a yükleyen GoldenDrive.
Şu anda, GoldenJackal'ın başlangıçta hedef ortamları nasıl tehlikeye attığı belirsizliğini koruyor. Ancak, araştırmacılar daha önce trojanlanmış Skype yükleyicilerinin ve bozuk Microsoft Word belgelerinin potansiyel giriş noktaları olarak hizmet edebileceğini öne sürmüşlerdi.
AltınÇakal Saldırıları Nasıl Gerçekleşiyor?
GoldenDealer, tanımlanamayan bir yöntemle internete bağlı bir bilgisayara yüklendiğinde, bir USB sürücü takıldığında etkinleşir. Bu eylem, kendisinin ve bilinmeyen bir solucan bileşeninin çıkarılabilir aygıta kopyalanmasıyla sonuçlanır. Bu bilinmeyen bileşenin, enfekte olmuş USB sürücü hava boşluklu bir sisteme bağlandığında yürütüldüğüne ve ardından GoldenDealer'ın makine hakkında bilgi toplayıp USB sürücüye kaydettiğine inanılmaktadır.
USB aygıtı internete bağlı bilgisayara tekrar takıldığında, GoldenDealer sürücüde depolanan bilgileri harici bir sunucuya aktarır, bu da daha sonra hava boşluğuna sahip sistemde yürütülmek üzere uygun yükleri geri gönderir. Kötü amaçlı yazılım ayrıca indirilen yürütülebilir dosyaları USB sürücüye kopyalamaktan da sorumludur. Son aşamada, aygıt hava boşluğuna sahip makineye tekrar bağlandığında, GoldenDealer kopyalanan yürütülebilir dosyaları yürütür.
Ek olarak, GoldenRobo, USB sürücüsünden dosyaları alıp saldırganın kontrolündeki sunucuya göndermek üzere tasarlanmış, İnternete bağlı PC'de çalışır. Go'da geliştirilen bu kötü amaçlı yazılım, adını, dosya transferlerini gerçekleştirmek için kullandığı robocopy adlı meşru bir Windows yardımcı programından alır.
Araştırmacılar şimdiye kadar hava boşluklu bilgisayardan USB belleğe dosya aktarımından sorumlu ayrı bir modül tespit edemediler.
Sadece beş yıl gibi kısa bir sürede hava boşluklu ağları tehlikeye atmak için iki farklı araç setini devreye sokma becerisi, GoldenJackal'ın hedeflerinin kullandığı ağ segmentasyon stratejilerini anlayan gelişmiş bir tehdit aktörü olduğunu gösteriyor.
