Kaspersky a descoperit un nou grup de criminalitate cibernetică. Grupul, numit GoldenJackal, este activ din 2019, dar nu are profil public și rămâne în mare parte un mister. Conform informațiilor obținute în urma cercetării, grupul vizează în principal instituții publice și diplomatice din Orientul Mijlociu și Asia de Sud.
Kaspersky a început să monitorizeze GoldenJakal la jumătatea anului 2020. Acest grup corespunde unui actor de amenințări calificat și moderat descuiat și prezintă un flux consistent de activitate. Principala caracteristică a grupului este că țintele lor sunt deturnarea computerelor, răspândirea între sisteme prin unități amovibile și furtul anumitor fișiere. Aceasta arată că principalele scopuri ale actorului amenințării sunt spionajul.
Conform cercetărilor Kaspersky, actorul amenințării folosește programe de instalare Skype false și documente Word rău intenționate ca vectori inițiali pentru atacuri. Programul de instalare Skype fals constă dintr-un fișier executabil de aproximativ 400 MB și conține troianul JackalControl și un program de instalare Skype for Business legitim. Prima utilizare a acestui instrument datează din 2020. Un alt vector de infecție se bazează pe un document rău intenționat care exploatează vulnerabilitatea Follina, folosind o tehnică de injectare de șablon de la distanță pentru a descărca o pagină HTML special creată.
Documentul se intitulează „Galeria ofițerilor care au primit premii naționale și străine.docx” și pare a fi o circulară legitimă prin care se solicită informații despre ofițerii premiați de guvernul pakistanez. Informațiile despre vulnerabilitatea Follina au fost distribuite pentru prima dată pe 29 mai 2022, iar documentul a fost schimbat la 1 iunie, la două zile după lansarea vulnerabilității, potrivit înregistrărilor. Documentul a fost văzut pentru prima dată pe 2 iunie. Lansarea executabilului care conține malware-ul troian JackalControl după descărcarea obiectului document extern configurat pentru a încărca un obiect extern de pe un site web legitim și compromis.
Atacul JackalControl, controlat de la distanță
Atacul JackalControl servește ca principal troian care permite atacatorilor să controleze de la distanță mașina țintă. De-a lungul anilor, atacatorii au distribuit diferite variante ale acestui malware. Unele variante conțin coduri suplimentare pentru a-și menține permanența, în timp ce altele sunt configurate să funcționeze fără a infecta sistemul. Mașinile sunt adesea infectate prin alte componente, cum ar fi scripturile batch.
Al doilea instrument important folosit pe scară largă de grupul GoldenJackal este JackalSteal. Acest instrument poate fi utilizat pentru a monitoriza unitățile USB amovibile, partajările de la distanță și toate unitățile logice din sistemul vizat. Malware-ul poate rula ca un proces sau serviciu standard. Cu toate acestea, nu își poate menține persistența și, prin urmare, trebuie să fie încărcat de o altă componentă.
În cele din urmă, GoldenJackal folosește o serie de instrumente suplimentare, cum ar fi JackalWorm, JackalPerInfo și JackalScreenWatcher. Aceste instrumente sunt folosite în situații specifice la care au fost observate cercetătorii Kaspersky. Acest set de instrumente își propune să controleze mașinile victimelor, să fure acreditările, să facă capturi de ecran de pe desktopuri și să indice tendința spre spionaj ca țintă finală.
Giampaolo Dedola, Senior Security Researcher la Kaspersky Global Research and Analysis Team (GReAT), a declarat:
„GoldenJackal este un actor APT interesant care încearcă să rămână departe de vedere cu profilul său scăzut. În ciuda faptului că au început operațiunile în iunie 2019, acestea au reușit să rămână ascunse. Cu un set de instrumente avansate de malware, acest actor a fost extrem de prolific în atacurile sale asupra organizațiilor publice și diplomatice din Orientul Mijlociu și Asia de Sud. Deoarece unele dintre programele malware sunt încă în curs de dezvoltare, este esențial ca echipele de securitate cibernetică să fie atent la posibilele atacuri ale acestui actor. Sperăm că analiza noastră va ajuta la prevenirea activităților GoldenJackal.”