Kaspersky je otkrio novu skupinu kibernetičkog kriminala. Grupa pod nazivom GoldenJackal aktivna je od 2019., ali nema javni profil i ostaje uglavnom misterija. Prema podacima dobivenim istraživanjem, grupa uglavnom cilja na javne i diplomatske institucije na Bliskom istoku i u južnoj Aziji.
Kaspersky je počeo pratiti GoldenJakal sredinom 2020. Ova skupina odgovara vještom i umjereno prikrivenom akteru prijetnje i pokazuje dosljedan tok aktivnosti. Glavna značajka grupe je da su njihovi ciljevi otimanje računala, širenje između sustava putem prijenosnih diskova i krađa određenih datoteka. To pokazuje da je glavna svrha aktera prijetnje špijunaža.
Prema istraživanju tvrtke Kaspersky, akter prijetnje koristi lažne Skype instalatere i zlonamjerne Word dokumente kao početne vektore za napade. Lažni Skype instalacijski program sastoji se od izvršne datoteke od oko 400 MB i sadrži JackalControl Trojan i legitimni Skype for Business instalacijski program. Prva uporaba ovog alata datira iz 2020. godine. Drugi vektor zaraze temelji se na zlonamjernom dokumentu koji iskorištava ranjivost Follina, koristeći tehniku daljinskog ubacivanja predloška za preuzimanje namjenski izrađene HTML stranice.
Dokument je naslovljen "Galerija časnika koji su primili nacionalne i strane nagrade.docx" i čini se da je legitimna okružnica kojom se traže informacije o časnicima koje je pakistanska vlada nagradila. Informacije o ranjivosti Follina prvi put su podijeljene 29. svibnja 2022., a dokument je promijenjen 1. lipnja, dva dana nakon objave ranjivosti, prema zapisima. Dokument je prvi put uočen 2. lipnja. Pokretanje izvršne datoteke koja sadrži zlonamjerni softver JackalControl Trojan nakon preuzimanja vanjskog objekta dokumenta konfiguriranog za učitavanje vanjskog objekta s legitimne i ugrožene web stranice.
JackalControl napad, daljinski upravljan
Napad JackalControl služi kao glavni trojanac koji napadačima omogućuje daljinsko upravljanje ciljnim strojem. Tijekom godina napadači su distribuirali različite varijante ovog zlonamjernog softvera. Neke varijante sadrže dodatne kodove za održavanje njihove trajnosti, dok su druge konfigurirane za rad bez zaraze sustava. Strojevi se često zaraze preko drugih komponenti kao što su batch skripte.
Drugi važan alat koji naširoko koristi grupa GoldenJackal je JackalSteal. Ovaj se alat može koristiti za nadzor prijenosnih USB pogona, udaljenih dijeljenja i svih logičkih pogona na ciljanom sustavu. Zlonamjerni softver može se izvoditi kao standardni proces ili usluga. Međutim, ne može održati svoju postojanost i stoga ga treba učitati druga komponenta.
Konačno, GoldenJackal koristi niz dodatnih alata kao što su JackalWorm, JackalPerInfo i JackalScreenWatcher. Ovi se alati koriste u specifičnim situacijama kojima su svjedočili istraživači tvrtke Kaspersky. Ovaj skup alata ima za cilj kontrolirati strojeve žrtava, ukrasti vjerodajnice, napraviti snimke zaslona stolnih računala i navesti sklonost špijunaži kao krajnju metu.
Giampaolo Dedola, viši sigurnosni istraživač u Kaspersky Global Research and Analysis Team (GReAT), rekao je:
“GoldenJackal je zanimljiv APT glumac koji pokušava ostati izvan vidokruga svojim niskim profilom. Unatoč početku rada u lipnju 2019., uspjeli su ostati skriveni. S naprednim alatom za zlonamjerni softver, ovaj je glumac bio vrlo plodan u svojim napadima na javne i diplomatske organizacije na Bliskom istoku i u južnoj Aziji. Budući da su neki od ugrađenih zlonamjernih programa još uvijek u razvoju, ključno je da timovi za kibernetičku sigurnost paze na moguće napade ovog aktera. Nadamo se da će naša analiza pomoći u sprječavanju aktivnosti GoldenJackala.”