Kaspersky откри нова група за киберпрестъпления. Групата, наречена GoldenJackal, е активна от 2019 г., но няма публичен профил и до голяма степен остава мистерия. Според информацията, получена от проучването, групата е насочена основно към обществени и дипломатически институции в Близкия изток и Южна Азия.
Kaspersky започна да наблюдава GoldenJakal в средата на 2020 г. Тази група съответства на квалифициран и умерено прикрит заплашващ актьор и проявява последователен поток от дейности. Основната характеристика на групата е, че техните цели са да отвличат компютри, да разпространяват между системите чрез преносими устройства и да крадат определени файлове. Това показва, че основните цели на заплахата са шпионаж.
Според изследването на Kaspersky, заплахата използва фалшиви инсталатори на Skype и злонамерени Word документи като първоначални вектори за атаки. Фалшивият инсталатор на Skype се състои от изпълним файл от приблизително 400 MB и съдържа троянския кон JackalControl и легитимен инсталатор на Skype за бизнеса. Първото използване на този инструмент датира от 2020 г. Друг вектор на инфекция се основава на злонамерен документ, който използва уязвимостта на Follina, използвайки техника за дистанционно инжектиране на шаблон за изтегляне на специално създадена HTML страница.
Документът е озаглавен „Галерия от офицери, които са получили национални и чуждестранни награди.docx“ и изглежда е легитимен циркуляр, изискващ информация за офицери, наградени от пакистанското правителство. Информацията за уязвимостта на Follina беше споделена за първи път на 29 май 2022 г., а документът беше променен на 1 юни, два дни след освобождаването на уязвимостта, според записите. Документът беше забелязан за първи път на 2 юни. Стартиране на изпълнимия файл, съдържащ троянския злонамерен софтуер JackalControl, след изтегляне на външен обект на документ, конфигуриран да зарежда външен обект от легитимен и компрометиран уебсайт.
JackalControl атака, дистанционно управлявана
Атаката JackalControl служи като основен троянски кон, който позволява на нападателите да контролират дистанционно целевата машина. През годините нападателите са разпространявали различни варианти на този зловреден софтуер. Някои варианти съдържат допълнителни кодове, за да поддържат постоянството си, докато други са конфигурирани да работят, без да заразяват системата. Машините често се заразяват чрез други компоненти, като пакетни скриптове.
Вторият важен инструмент, широко използван от групата GoldenJackal, е JackalSteal. Този инструмент може да се използва за наблюдение на сменяеми USB устройства, отдалечени споделяния и всички логически устройства в целевата система. Зловреден софтуер може да работи като стандартен процес или услуга. Той обаче не може да поддържа своята устойчивост и следователно трябва да бъде зареден от друг компонент.
И накрая, GoldenJackal използва редица допълнителни инструменти като JackalWorm, JackalPerInfo и JackalScreenWatcher. Тези инструменти се използват в специфични ситуации, на които са свидетели изследователите на Kaspersky. Този набор от инструменти има за цел да контролира машините на жертвите, да краде идентификационни данни, да прави екранни снимки на настолни компютри и да посочва склонност към шпионаж като крайна цел.
Джампаоло Дедола, старши изследовател по сигурността в Kaspersky Global Research and Analysis Team (GReAT), каза:
„GoldenJackal е интересен APT актьор, който се опитва да стои далеч от погледа с ниския си профил. Въпреки че започнаха първи операции през юни 2019 г., те успяха да останат скрити. С усъвършенстван набор от инструменти за зловреден софтуер, този актьор е много плодовит в атаките си срещу обществени и дипломатически организации в Близкия изток и Южна Азия. Тъй като някои от вградените зловреден софтуер все още са в процес на разработка, за екипите по киберсигурност е изключително важно да следят за възможни атаки от този актьор. Надяваме се, че нашият анализ ще помогне за предотвратяване на дейностите на GoldenJackal.“