GoldenJackal 威脅 演員
一個鮮為人知的威脅參與者 GoldenJackal 與一系列針對大使館和政府機構的網路攻擊有關,其目的是透過兩個不同的自訂工具集破壞氣隙系統。
這些目標包括位於白俄羅斯的南亞大使館和歐盟(EU)內的一個政府組織。 GoldenJackal 的主要目標似乎是竊取敏感訊息,特別是來自可能與互聯網保持斷開連接的知名系統的信息。
目錄
GoldenJackal 已活躍多年
GoldenJackal 於 2023 年 5 月首次被發現,當時研究人員報告了該威脅集群針對中東和南亞外交和政府實體的攻擊。該組織的行動至少可以追溯到 2019 年。
雖然沒有足夠的證據明確將這些活動與特定的民族國家威脅聯繫起來,但 Turla 和 MoustachedBouncer 所使用的惡意工具在戰術上存在一些相似之處,後者也針對外國駐白俄羅斯大使館。
GoldenJackal 部署的多種惡意軟體威脅
資訊安全專家於2019 年8 月至9 月在白俄羅斯的南亞大使館發現了與GoldenJackal 有關的文物,並於2021 年7 月進一步發現。月期間成功針對歐盟政府實體部署了完全更新的工具集2024 年。
五年來開發和部署兩個專門為破壞氣隙系統而設計的不同工具集所表現出的複雜性凸顯了該組織的足智多謀。
據報道,對南亞駐白俄羅斯大使館的攻擊使用了三個不同的惡意軟體家族,以及 JackalControl、JackalSteal 和 JackalWorm:
- GoldenDealer,它有助於透過受損的 USB 隨身碟將可執行檔傳送到氣隙系統。
- GoldenHowl,一個模組化後門,能夠竊取文件、創建計劃任務、向遠端伺服器上傳和下載文件以及建立 SSH 隧道。
- GoldenRobo,一款專為文件收集和資料外洩而設計的工具。
攻擊中使用的一套新的威脅工具
相較之下,針對歐洲未具名政府組織的攻擊使用了一套主要以 Go 編寫的全新惡意軟體工具。這些工具旨在從 USB 驅動器收集文件、透過 USB 驅動器傳播惡意軟體、竊取資料以及利用某些電腦伺服器作為臨時伺服器將有效負載分發到其他主機:
- GoldenUsbCopy 及其增強後繼產品 GoldenUsbGo,可監控 USB 隨身碟並複製檔案以防止洩漏。
- GoldenAce,用於透過 USB 隨身碟向其他系統(不一定是氣隙系統)傳播惡意軟體,包括 JackalWorm 的輕量級版本。
- GoldenBlacklist 及其 Python 變體 GoldenPyBlacklist,可處理感興趣的電子郵件以供將來洩露。
- GoldenMailer,透過電子郵件將收集的資料傳送給攻擊者。
- GoldenDrive,將收集到的資訊上傳到 Google Drive。
目前,尚不清楚 GoldenJackal 最初是如何危害目標環境的。然而,研究人員先前曾表示,木馬化的 Skype 安裝程式和損壞的 Microsoft Word 文件可能是潛在的入口點。
GoldenJackal 攻擊如何進行?
GoldenDealer 一旦透過不明方式安裝在連接網路的電腦上,就會在插入 USB 隨身碟時啟動。此操作會導致將自身和未知蠕蟲元件複製到可移動裝置上。據信,當受感染的 USB 驅動器連接到氣隙系統時,該未知組件就會執行,之後 GoldenDealer 會收集有關計算機的信息並將其保存到 USB 驅動器。
當 USB 裝置重新插入連接網路的電腦時,GoldenDealer 會將儲存在磁碟機上的資訊傳輸到外部伺服器,然後外部伺服器傳回適當的有效負載以在氣隙系統上執行。該惡意軟體還負責將下載的可執行檔複製到 USB 隨身碟。在最後階段,當裝置再次連接到氣隙機器時,GoldenDealer 會執行複製的可執行檔。
此外,GoldenRobo 在連接互聯網的 PC 上運行,旨在從 USB 驅動器檢索檔案並將其發送到攻擊者控制的伺服器。這種惡意軟體是用 Go 開發的,其名稱源自於一個名為 robocopy 的合法 Windows 實用程序,它使用該實用程式來執行檔案傳輸。
到目前為止,研究人員尚未找到負責將檔案從氣隙電腦傳輸到 USB 隨身碟本身的單獨模組。
GoldenJackal 能夠在短短五年內部署兩個不同的工具集來破壞氣隙網絡,這表明 GoldenJackal 是一個複雜的威脅參與者,了解其目標所採用的網絡分段策略。
