Kaspersky odkrył nową grupę cyberprzestępczą. Grupa o nazwie GoldenJackal działa od 2019 roku, ale nie ma publicznego profilu i pozostaje w dużej mierze tajemnicą. Według informacji uzyskanych z badań, celem ugrupowania są głównie instytucje publiczne i dyplomatyczne na Bliskim Wschodzie iw Azji Południowej.
Kaspersky zaczął monitorować GoldenJakal w połowie 2020 roku. Grupa ta odpowiada wykwalifikowanemu i umiarkowanie zamaskowanemu ugrupowaniu cyberprzestępczemu i wykazuje spójny przepływ aktywności. Główną cechą tej grupy jest to, że jej celem jest przejmowanie kontroli nad komputerami, rozprzestrzenianie się między systemami za pośrednictwem dysków wymiennych oraz kradzież określonych plików. To pokazuje, że głównymi celami cyberprzestępcy jest szpiegostwo.
Według badań przeprowadzonych przez Kaspersky, cyberprzestępca używa fałszywych instalatorów Skype'a i złośliwych dokumentów Worda jako początkowych wektorów ataków. Fałszywy instalator Skype składa się z pliku wykonywalnego o wielkości około 400 MB i zawiera trojana JackalControl oraz legalny instalator Skype for Business. Pierwsze użycie tego narzędzia datuje się na rok 2020. Inny wektor infekcji opiera się na złośliwym dokumencie, który wykorzystuje lukę w zabezpieczeniach Follina, wykorzystując technikę zdalnego wstrzykiwania szablonu w celu pobrania specjalnie stworzonej strony HTML.
Dokument nosi tytuł „Galeria funkcjonariuszy, którzy otrzymali nagrody krajowe i zagraniczne.docx” i wydaje się być uzasadnionym okólnikiem z prośbą o informacje na temat funkcjonariuszy odznaczonych przez rząd Pakistanu. Informacja o podatności Follina została po raz pierwszy udostępniona 29 maja 2022 r., a dokument został zmieniony 1 czerwca, dwa dni po ujawnieniu luki, zgodnie z zapisami. Dokument został po raz pierwszy zauważony 2 czerwca. Uruchamianie pliku wykonywalnego zawierającego złośliwe oprogramowanie JackalControl Trojan po pobraniu zewnętrznego obiektu dokumentu skonfigurowanego do ładowania zewnętrznego obiektu z legalnej i zainfekowanej strony internetowej.
Atak JackalControl, zdalnie sterowany
Atak JackalControl służy jako główny trojan, który umożliwia atakującym zdalne kontrolowanie docelowej maszyny. Na przestrzeni lat osoby atakujące rozpowszechniały różne warianty tego złośliwego oprogramowania. Niektóre warianty zawierają dodatkowe kody, aby zachować ich trwałość, podczas gdy inne są skonfigurowane tak, aby działały bez infekowania systemu. Maszyny są często infekowane przez inne komponenty, takie jak skrypty wsadowe.
Drugim ważnym narzędziem powszechnie używanym przez grupę GoldenJackal jest JackalSteal. To narzędzie może być używane do monitorowania wymiennych dysków USB, zdalnych udziałów i wszystkich dysków logicznych w docelowym systemie. Złośliwe oprogramowanie może działać jako standardowy proces lub usługa. Jednak nie może utrzymać swojej trwałości i dlatego musi zostać załadowany przez inny komponent.
Wreszcie, GoldenJackal wykorzystuje szereg dodatkowych narzędzi, takich jak JackalWorm, JackalPerInfo i JackalScreenWatcher. Narzędzia te są wykorzystywane w określonych sytuacjach obserwowanych przez badaczy z firmy Kaspersky. Ten zestaw narzędzi ma na celu kontrolowanie maszyn ofiar, kradzież danych uwierzytelniających, robienie zrzutów ekranu pulpitów i wskazanie skłonności do szpiegostwa jako ostatecznego celu.
Giampaolo Dedola, starszy badacz ds. bezpieczeństwa w Kaspersky Global Research and Analysis Team (GReAT), powiedział:
„GoldenJackal to interesujący aktor APT, który stara się pozostać poza zasięgiem wzroku dzięki swojemu niskiemu profilowi. Pomimo rozpoczęcia pierwszych operacji w czerwcu 2019 r. udało im się pozostać w ukryciu. Dzięki zaawansowanemu zestawowi narzędzi do tworzenia złośliwego oprogramowania aktor ten był bardzo skuteczny w atakach na organizacje publiczne i dyplomatyczne na Bliskim Wschodzie iw Azji Południowej. Ponieważ niektóre z osadzonych złośliwych programów są nadal w fazie rozwoju, zespoły ds. bezpieczeństwa cybernetycznego muszą zwracać uwagę na możliwe ataki tego aktora. Mamy nadzieję, że nasza analiza pomoże zapobiegać działaniom GoldenJackal”.