Diễn viên đe dọa GoldenJackal

Một tác nhân đe dọa ít được biết đến có tên GoldenJackal đã liên quan đến một loạt các cuộc tấn công mạng nhằm vào các đại sứ quán và cơ quan chính phủ, với mục đích xâm phạm các hệ thống cách ly thông qua hai bộ công cụ tùy chỉnh riêng biệt.

Các mục tiêu bao gồm một đại sứ quán Nam Á đặt tại Belarus và một tổ chức chính phủ trong Liên minh châu Âu (EU). Mục tiêu chính của GoldenJackal dường như là đánh cắp thông tin nhạy cảm, đặc biệt là từ các hệ thống có uy tín cao có thể vẫn bị ngắt kết nối khỏi Internet.

GoldenJackal đã hoạt động trong nhiều năm

GoldenJackal lần đầu tiên được phát hiện vào tháng 5 năm 2023, khi các nhà nghiên cứu báo cáo về các cuộc tấn công của nhóm đe dọa này nhắm vào các tổ chức ngoại giao và chính phủ ở Trung Đông và Nam Á. Hoạt động của nhóm này có thể bắt nguồn từ ít nhất năm 2019. Một khía cạnh đáng chú ý của các cuộc xâm nhập này là việc triển khai một loại sâu được gọi là JackalWorm, có thể lây nhiễm các ổ đĩa USB được kết nối và phân phối một loại trojan được gọi là JackalControl.

Mặc dù không có đủ bằng chứng để liên kết chắc chắn các hoạt động này với mối đe dọa quốc gia cụ thể, vẫn có một số điểm tương đồng về mặt chiến thuật với các công cụ độc hại được sử dụng trong các chiến dịch được cho là của Turla và MoustachedBouncer, trong đó chiến dịch sau cũng tập trung vào các đại sứ quán nước ngoài tại Belarus.

Nhiều mối đe dọa phần mềm độc hại được triển khai bởi GoldenJackal

Các chuyên gia bảo mật thông tin đã xác định được các hiện vật liên quan đến GoldenJackal tại một đại sứ quán Nam Á ở Belarus vào tháng 8 và tháng 9 năm 2019, với những phát hiện tiếp theo vào tháng 7 năm 2021. Đáng chú ý, tác nhân đe dọa đã triển khai thành công một bộ công cụ được cập nhật hoàn toàn chống lại một tổ chức chính phủ Liên minh Châu Âu trong khoảng thời gian từ tháng 5 năm 2022 đến tháng 3 năm 2024.

Sự tinh vi được thể hiện trong việc phát triển và triển khai hai bộ công cụ riêng biệt được thiết kế riêng để xâm phạm các hệ thống không có kết nối mạng trong hơn năm năm làm nổi bật sự tháo vát của nhóm.

Cuộc tấn công vào đại sứ quán Nam Á tại Belarus được cho là sử dụng ba nhóm phần mềm độc hại khác nhau cùng với JackalControl, JackalSteal và JackalWorm:

• GoldenDealer, công cụ hỗ trợ phân phối các tệp thực thi đến các hệ thống cách ly thông qua ổ USB bị xâm phạm.
• GoldenHowl, một cửa hậu mô-đun có khả năng đánh cắp tập tin, tạo các tác vụ theo lịch trình, tải lên và tải xuống các tập tin đến và đi từ một máy chủ từ xa và thiết lập đường hầm SSH.
• GoldenRobo, một công cụ được thiết kế để thu thập tập tin và trích xuất dữ liệu.

Bộ công cụ đe dọa mới được sử dụng trong các cuộc tấn công

Ngược lại, các cuộc tấn công nhắm vào tổ chức chính phủ không tên ở Châu Âu đã sử dụng một bộ công cụ phần mềm độc hại hoàn toàn mới chủ yếu được viết bằng Go. Các công cụ này được thiết kế để thu thập các tệp từ ổ đĩa USB, phát tán phần mềm độc hại qua ổ đĩa USB, trích xuất dữ liệu và sử dụng một số máy chủ làm máy chủ dàn dựng để phân phối tải trọng cho các máy chủ khác:

• GoldenUsbCopy và phiên bản nâng cao GoldenUsbGo có chức năng giám sát ổ USB và sao chép tập tin để đánh cắp dữ liệu.
• GoldenAce, được sử dụng để phát tán phần mềm độc hại, bao gồm phiên bản nhẹ của JackalWorm, đến các hệ thống khác (không nhất thiết phải tách biệt mạng) thông qua ổ USB.
• GoldenBlacklist và biến thể Python của nó, GoldenPyBlacklist, xử lý các email quan tâm để đánh cắp trong tương lai.
• GoldenMailer gửi dữ liệu thu thập được cho kẻ tấn công qua email.
• GoldenDrive, nơi tải thông tin thu thập được lên Google Drive.

Hiện tại, vẫn chưa rõ GoldenJackal ban đầu xâm phạm môi trường mục tiêu như thế nào. Tuy nhiên, các nhà nghiên cứu trước đây đã gợi ý rằng trình cài đặt Skype bị trojan hóa và các tài liệu Microsoft Word bị hỏng có thể là điểm xâm nhập tiềm năng.

Cuộc tấn công của GoldenJackal diễn ra như thế nào?

GoldenDealer, sau khi được cài đặt trên máy tính kết nối Internet thông qua một phương pháp không xác định, sẽ kích hoạt khi ổ USB được cắm vào. Hành động này dẫn đến việc sao chép chính nó và một thành phần sâu không xác định vào thiết bị có thể tháo rời. Người ta tin rằng thành phần không xác định này sẽ thực thi khi ổ USB bị nhiễm được kết nối với hệ thống air-gapped, sau đó GoldenDealer sẽ thu thập thông tin về máy và lưu vào ổ USB.

Khi thiết bị USB được lắp lại vào máy tính được kết nối Internet, GoldenDealer sẽ chuyển thông tin được lưu trữ trên ổ đĩa đến một máy chủ bên ngoài, sau đó máy chủ này sẽ gửi lại các tải trọng phù hợp để thực thi trên hệ thống air-gapped. Phần mềm độc hại cũng chịu trách nhiệm sao chép các tệp thực thi đã tải xuống vào ổ đĩa USB. Ở giai đoạn cuối, khi thiết bị được kết nối lại với máy air-gapped, GoldenDealer sẽ thực thi các tệp thực thi đã sao chép.

Ngoài ra, GoldenRobo chạy trên PC được kết nối Internet, được thiết kế để lấy các tệp từ ổ USB và gửi chúng đến máy chủ do kẻ tấn công kiểm soát. Phần mềm độc hại này, được phát triển trong Go, có tên bắt nguồn từ một tiện ích Windows hợp pháp có tên là robocopy, được sử dụng để thực hiện việc chuyển tệp.

Cho đến nay, các nhà nghiên cứu vẫn chưa xác định được mô-đun riêng biệt nào có chức năng truyền tệp từ máy tính không kết nối mạng sang ổ USB.

Khả năng triển khai hai bộ công cụ riêng biệt để xâm phạm các mạng không có kết nối mạng trong vòng năm năm chứng tỏ rằng GoldenJackal là một tác nhân đe dọa tinh vi, hiểu được các chiến lược phân đoạn mạng mà mục tiêu của nó sử dụng.