GoldenJackal Threat Актор
Менш відомий загрозливий актор, відомий як GoldenJackal, був пов’язаний із серією кібератак, націлених на посольства та урядові органи, з наміром зламати системи з повітряним розривом за допомогою двох різних спеціальних наборів інструментів.
Мішенями були посольство країн Південної Азії, розташоване в Білорусі, і урядова організація в Європейському Союзі (ЄС). Основною метою GoldenJackal є крадіжка конфіденційної інформації, особливо з систем високого рівня, які можуть залишатися відключеними від Інтернету.
Зміст
GoldenJackal працює багато років
GoldenJackal був вперше ідентифікований у травні 2023 року, коли дослідники повідомили про атаки кластера загроз, спрямованих на дипломатичні та урядові установи на Близькому Сході та в Південній Азії. Операції групи можна відстежити щонайменше з 2019 року. Примітним аспектом цих вторгнень є розгортання хробака, відомого як JackalWorm, який може заразити підключені USB-накопичувачі та доставити троян під назвою JackalControl.
Хоча недостатньо доказів, щоб остаточно пов’язати ці дії з конкретною загрозою національній державі, існують певні тактичні подібності зі шкідливими інструментами, які використовувалися в кампаніях, приписуваних Turla та MoustachedBouncer, остання з яких також зосереджувалася на іноземних посольствах у Білорусі.
Численні загрози зловмисного програмного забезпечення розгортаються GoldenJackal
Експерти з інформаційної безпеки виявили артефакти, пов’язані з GoldenJackal, у посольстві країн Південної Азії в Білорусі в серпні та вересні 2019 року з подальшими відкриттями в липні 2021 року. Зокрема, зловмисник успішно розгорнув повністю оновлений набір інструментів проти урядової організації Європейського Союзу в період з травня 2022 року по березень. 2024 рік.
Витонченість, продемонстрована протягом п’яти років у розробці та розгортанні двох різних наборів інструментів, спеціально розроблених для компрометації систем із повітряним зазором, підкреслює винахідливість групи.
Повідомляється, що під час атаки на посольство країн Південної Азії в Білорусі поряд із JackalControl, JackalSteal і JackalWorm були використані три різні сімейства шкідливих програм:
- GoldenDealer, який полегшує доставку виконуваних файлів до систем із розривом повітря через скомпрометовані USB-накопичувачі.
- GoldenHowl, модульний бекдор, здатний викрадати файли, створювати заплановані завдання, завантажувати файли на віддалений сервер і з нього, а також створювати SSH-тунель.
- GoldenRobo, інструмент, призначений для збору файлів і викрадання даних.
Новий набір загрозливих інструментів, які використовуються під час атак
Навпаки, атаки, спрямовані на неназвану урядову організацію в Європі, використовували абсолютно новий набір інструментів зловмисного програмного забезпечення, в основному написаних на Go. Ці інструменти призначені для збору файлів із USB-накопичувачів, розповсюдження зловмисного програмного забезпечення через USB-накопичувачі, вилучення даних і використання певних машинних серверів як проміжних серверів для розподілу корисних даних на інші хости:
- GoldenUsbCopy та його покращений наступник GoldenUsbGo, які відстежують USB-накопичувачі та копіюють файли на предмет крадіжки.
- GoldenAce, який використовується для розповсюдження зловмисного програмного забезпечення, включно з полегшеною версією JackalWorm, на інші системи (не обов’язково з повітряним розривом) через USB-накопичувачі.
- GoldenBlacklist і його варіант Python, GoldenPyBlacklist, який обробляє повідомлення електронної пошти, що представляють інтерес для майбутнього викрадання.
- GoldenMailer, який надсилає зібрані дані зловмисникам електронною поштою.
- GoldenDrive, який завантажує зібрану інформацію на Google Drive.
Наразі залишається незрозумілим, як GoldenJackal спочатку компрометує цільове середовище. Однак дослідники раніше припускали, що троянські інсталятори Skype і пошкоджені документи Microsoft Word можуть служити потенційними точками входу.
Як тривають атаки GoldenJackal?
GoldenDealer, встановлений на підключеному до Інтернету комп’ютері невідомим способом, активується, коли вставляється USB-накопичувач. Ця дія призводить до копіювання себе та невідомого компонента хробака на знімний пристрій. Вважається, що цей невідомий компонент запускається, коли заражений USB-накопичувач підключається до системи з повітряним розривом, після чого GoldenDealer збирає інформацію про машину та зберігає її на USB-накопичувачі.
Коли USB-пристрій повторно вставляється в підключений до Інтернету комп’ютер, GoldenDealer передає інформацію, що зберігається на диску, на зовнішній сервер, який потім надсилає відповідні корисні дані для виконання в системі з повітряним розривом. Зловмисне програмне забезпечення також відповідає за копіювання завантажених виконуваних файлів на USB-накопичувач. На останньому етапі, коли пристрій знову підключено до машини з повітряним розривом, GoldenDealer виконує скопійовані виконувані файли.
Крім того, GoldenRobo працює на ПК, підключеному до Інтернету, призначеному для отримання файлів з USB-накопичувача та надсилання їх на контрольований зловмисником сервер. Це зловмисне програмне забезпечення, розроблене в Go, походить від законної утиліти Windows під назвою robocopy, яку воно використовує для передачі файлів.
Поки що дослідники не визначили окремий модуль, який відповідає за передачу файлів з комп’ютера з повітряним проміжком на сам USB-накопичувач.
Можливість розгортати два різні набори інструментів для компрометації мереж із розривом повітря всього за п’ять років демонструє, що GoldenJackal є досвідченим учасником загроз, який розуміє стратегії сегментації мережі, які використовують його цілі.
