Kaspersky ir atklājis jaunu kibernoziegumu grupu. Grupa ar nosaukumu GoldenJackal ir bijusi aktīva kopš 2019. gada, taču tai nav publiska profila, un tā joprojām ir noslēpums. Pētījumā iegūtā informācija liecina, ka grupas mērķis galvenokārt ir valsts un diplomātiskās institūcijas Tuvajos Austrumos un Dienvidāzijā.
Kaspersky sāka uzraudzīt GoldenJakal 2020. gada vidū. Šī grupa atbilst prasmīgam un mēreni slēptam draudu dalībniekam, un tā uzrāda konsekventu darbību plūsmu. Grupas galvenā iezīme ir tā, ka viņu mērķis ir nolaupīt datorus, izplatīt starp sistēmām, izmantojot noņemamos diskus, un nozagt noteiktus failus. Tas liecina, ka draudu aktiera galvenie mērķi ir spiegošana.
Saskaņā ar Kaspersky pētījumu draudu aktieris izmanto viltotus Skype instalētājus un ļaunprātīgus Word dokumentus kā sākotnējos uzbrukumu vektorus. Viltus Skype instalēšanas programma sastāv no aptuveni 400 MB liela izpildāmā faila, un tajā ir JackalControl Trojas zirgs un likumīgs Skype darbam instalēšanas programma. Pirmo reizi šis rīks tika izmantots 2020. gadā. Cits infekcijas vektors ir balstīts uz ļaunprātīgu dokumentu, kas izmanto Follina ievainojamību, izmantojot attālās veidnes ievadīšanas paņēmienu, lai lejupielādētu īpaši izveidotu HTML lapu.
Dokumenta nosaukums ir “Valsts un ārvalstu apbalvojumus saņēmušo virsnieku galerija.docx”, un šķiet, ka tas ir likumīgs apkārtraksts, kurā tiek pieprasīta informācija par Pakistānas valdības apbalvotajiem virsniekiem. Informācija par Follina ievainojamību pirmo reizi tika kopīgota 29. gada 2022. maijā, un dokuments tika mainīts 1. jūnijā, divas dienas pēc ievainojamības izlaišanas, liecina ieraksti. Dokuments pirmo reizi tika pamanīts 2. jūnijā. Izpildāmā faila palaišana, kas satur Trojas ļaunprogrammatūru JackalControl pēc ārējā dokumenta objekta lejupielādes, kas konfigurēts ārēja objekta ielādei no likumīgas un apdraudētas vietnes.
JackalControl uzbrukums, tālvadības pults
JackalControl uzbrukums kalpo kā galvenais Trojas zirgs, kas ļauj uzbrucējiem attālināti kontrolēt mērķa mašīnu. Gadu gaitā uzbrucēji ir izplatījuši dažādus šīs ļaunprogrammatūras variantus. Daži varianti satur papildu kodus, lai saglabātu to pastāvību, savukārt citi ir konfigurēti, lai darbotos, neinficējot sistēmu. Iekārtas bieži tiek inficētas, izmantojot citus komponentus, piemēram, pakešu skriptus.
Otrs svarīgais rīks, ko plaši izmanto GoldenJackal grupa, ir JackalSteal. Šo rīku var izmantot, lai pārraudzītu noņemamos USB diskus, attālās koplietošanas un visus loģiskos diskus mērķa sistēmā. Ļaunprātīga programmatūra var darboties kā standarta process vai pakalpojums. Tomēr tas nevar saglabāt savu noturību, un tāpēc tas ir jāielādē citam komponentam.
Visbeidzot, GoldenJackal izmanto vairākus papildu rīkus, piemēram, JackalWorm, JackalPerInfo un JackalScreenWatcher. Šie rīki tiek izmantoti īpašās situācijās, par kurām liecina Kaspersky pētnieki. Šī rīku komplekta mērķis ir kontrolēt upuru iekārtas, nozagt akreditācijas datus, uzņemt galddatoru ekrānuzņēmumus un norādīt uz spiegošanas tieksmi kā galveno mērķi.
Džampaolo Dedola, Kaspersky globālās izpētes un analīzes komandas (GReAT) vecākais drošības pētnieks, sacīja:
“GoldenJackal ir interesants APT aktieris, kurš cenšas palikt prom no redzesloka ar savu zemo profilu. Neskatoties uz pirmo darbību uzsākšanu 2019. gada jūnijā, tās ir spējušas palikt slēptas. Izmantojot uzlaboto ļaunprātīgas programmatūras rīku komplektu, šis aktieris ir bijis ļoti produktīvs savos uzbrukumos sabiedriskajām un diplomātiskajām organizācijām Tuvajos Austrumos un Dienvidāzijā. Tā kā dažas ļaunprātīgas programmatūras iegulšanas joprojām tiek izstrādātas, kiberdrošības komandām ir ļoti svarīgi sekot līdzi iespējamiem šī dalībnieka uzbrukumiem. Mēs ceram, ka mūsu analīze palīdzēs novērst GoldenJackal aktivitātes.