GoldenJackal 威胁实施者
一个鲜为人知的威胁行为者 GoldenJackal 与一系列针对大使馆和政府机构的网络攻击有关,其意图是通过两种不同的自定义工具集突破隔离系统。
攻击目标包括位于白俄罗斯的南亚大使馆和欧盟 (EU) 内的一个政府组织。GoldenJackal 的主要目标似乎是窃取敏感信息,尤其是那些可能与互联网断开连接的高调系统。
目录
GoldenJackal 已活跃多年
GoldenJackal 于 2023 年 5 月首次被发现,当时研究人员报告了该威胁集群针对中东和南亚外交和政府实体的攻击。该组织的行动至少可以追溯到 2019 年。这些入侵的一个显著方面是部署了一种名为 JackalWorm 的蠕虫,它可以感染连接的 USB 驱动器并传播一种称为 JackalControl 的木马。
虽然没有足够的证据明确地将这些活动与特定的民族国家威胁联系起来,但这些活动与 Turla 和 MoustachedBouncer 攻击活动中使用的恶意工具存在一些战术相似之处,后者也曾针对白俄罗斯的外国大使馆发起攻击。
GoldenJackal 部署了多种恶意软件威胁
2019 年 8 月至 9 月,信息安全专家在白俄罗斯的南亚大使馆发现了与 GoldenJackal 相关的物品,并于 2021 年 7 月有了进一步的发现。值得注意的是,该威胁行为者在 2022 年 5 月至 2024 年 3 月期间成功针对欧盟政府实体部署了一套完全更新的工具集。
五年来,该组织开发并部署了两套专为入侵隔离系统而设计的不同工具集,其精湛技艺凸显了其足智多谋。
据报道,对白俄罗斯南亚大使馆的攻击使用了三种不同的恶意软件家族,包括 JackalControl、JackalSteal 和 JackalWorm:
- GoldenDealer,它通过受感染的 USB 驱动器将可执行文件传送到隔离系统。
- GoldenHowl 是一个模块化后门,能够窃取文件、创建计划任务、从远程服务器上传和下载文件以及建立 SSH 隧道。
- GoldenRobo,一款专为文件收集和数据泄露而设计的工具。
攻击中使用的新威胁工具
相比之下,针对欧洲未具名政府组织的攻击采用了一套全新的恶意软件工具,主要用 Go 编写。这些工具旨在从 USB 驱动器收集文件,通过 USB 驱动器传播恶意软件,窃取数据,并利用某些机器服务器作为暂存服务器将有效载荷分发到其他主机:
- GoldenUsbCopy 及其增强版 GoldenUsbGo,可监控 USB 驱动器并复制文件以进行泄露。
- GoldenAce,用于通过 USB 驱动器向其他系统(不一定是隔离的系统)传播恶意软件(包括 JackalWorm 的轻量级版本)。
- GoldenBlacklist 及其 Python 变体 GoldenPyBlacklist,用于处理感兴趣的电子邮件消息以供将来进行泄露。
- GoldenMailer,通过电子邮件将收集的数据发送给攻击者。
- GoldenDrive,将收集到的信息上传至 Google Drive。
目前,尚不清楚 GoldenJackal 最初如何入侵目标环境。不过,研究人员此前曾提出,木马化的 Skype 安装程序和损坏的 Microsoft Word 文档可能成为潜在的入口点。
GoldenJackal 的攻击是如何进行的?
GoldenDealer 一旦通过未知方法安装在联网的计算机上,就会在插入 USB 驱动器时激活。此操作会导致其自身和未知蠕虫组件复制到可移动设备上。据信,当受感染的 USB 驱动器连接到隔离系统时,此未知组件就会执行,之后 GoldenDealer 会收集有关机器的信息并将其保存到 USB 驱动器中。
当 USB 设备重新插入联网计算机时,GoldenDealer 会将驱动器上存储的信息传输到外部服务器,然后服务器会发回合适的有效负载,以便在隔离系统上执行。该恶意软件还负责将下载的可执行文件复制到 USB 驱动器。在最后阶段,当设备再次连接到隔离机器时,GoldenDealer 会执行复制的可执行文件。
此外,GoldenRobo 可在联网的 PC 上运行,旨在从 USB 驱动器检索文件并将其发送到攻击者控制的服务器。这款恶意软件是用 Go 开发的,其名称源自名为 robocopy 的合法 Windows 实用程序,它使用该实用程序执行文件传输。
到目前为止,研究人员还没有发现负责将文件从隔离计算机传输到 USB 驱动器本身的单独模块。
能够在短短五年内部署两套不同的工具集来攻击隔离网络,这表明 GoldenJackal 是一个老练的威胁行为者,了解其目标所采用的网络分段策略。
