Kaspersky har oppdaget en ny nettkriminalitetsgruppe. Gruppen, kalt GoldenJackal, har vært aktiv siden 2019, men har ingen offentlig profil og forblir stort sett et mysterium. I følge informasjonen som er hentet fra forskningen, retter gruppen seg hovedsakelig mot offentlige og diplomatiske institusjoner i Midtøsten og Sør-Asia.
Kaspersky begynte å overvåke GoldenJakal i midten av 2020. Denne gruppen tilsvarer en dyktig og moderat kappet trusselaktør og viser en jevn aktivitetsflyt. Hovedtrekket til gruppen er at målene deres er å kapre datamaskiner, spre seg mellom systemer via flyttbare stasjoner og stjele visse filer. Dette viser at hovedformålene til trusselaktøren er spionasje.
I følge Kasperskys forskning bruker trusselaktøren falske Skype-installatører og ondsinnede Word-dokumenter som innledende vektorer for angrep. Det falske Skype-installasjonsprogrammet består av en kjørbar fil på omtrent 400 MB og inneholder JackalControl-trojaneren og et legitimt Skype for Business-installasjonsprogram. Den første bruken av dette verktøyet går tilbake til 2020. En annen infeksjonsvektor er basert på et ondsinnet dokument som utnytter Follina-sårbarheten, ved å bruke en ekstern malinjeksjonsteknikk for å laste ned en spesialbygd HTML-side.
Dokumentet har tittelen "Gallery of Officers Who Have Received National and Foreign Awards.docx" og ser ut til å være et legitimt rundskriv som ber om informasjon om offiserer tildelt av den pakistanske regjeringen. Informasjon om Follina-sårbarheten ble først delt 29. mai 2022, og dokumentet ble endret 1. juni, to dager etter utgivelsen av sårbarheten, ifølge registrene. Dokumentet ble først oppdaget 2. juni. Lansering av den kjørbare filen som inneholder JackalControl Trojan malware etter nedlasting av det eksterne dokumentobjektet som er konfigurert til å laste et eksternt objekt fra et legitimt og kompromittert nettsted.
JackalControl-angrep, fjernstyrt
JackalControl-angrepet fungerer som den viktigste trojaneren som lar angripere fjernstyre målmaskinen. Gjennom årene har angripere distribuert forskjellige varianter av denne skadelige programvaren. Noen varianter inneholder tilleggskoder for å opprettholde deres varighet, mens andre er konfigurert til å fungere uten å infisere systemet. Maskiner er ofte infisert gjennom andre komponenter som batch-skript.
Det andre viktige verktøyet som er mye brukt av GoldenJackal-gruppen er JackalSteal. Dette verktøyet kan brukes til å overvåke flyttbare USB-stasjoner, eksterne delinger og alle logiske stasjoner på det målrettede systemet. Skadevaren kan kjøres som en standard prosess eller tjeneste. Den kan imidlertid ikke opprettholde sin utholdenhet og må derfor lastes av en annen komponent.
Til slutt bruker GoldenJackal en rekke tilleggsverktøy som JackalWorm, JackalPerInfo og JackalScreenWatcher. Disse verktøyene brukes i spesifikke situasjoner som Kaspersky-forskere har sett. Dette verktøysettet tar sikte på å kontrollere ofrenes maskiner, stjele legitimasjon, ta skjermbilder av stasjonære datamaskiner og indikere en tilbøyelighet til spionasje som det ultimate målet.
Giampaolo Dedola, senior sikkerhetsforsker ved Kaspersky Global Research and Analysis Team (GReAT), sa:
"GoldenJackal er en interessant APT-skuespiller som prøver å holde seg ute av syne med sin lave profil. Til tross for første gangs drift i juni 2019, har de klart å holde seg skjult. Med et avansert verktøysett for skadelig programvare har denne skuespilleren vært svært produktiv i sine angrep på offentlige og diplomatiske organisasjoner i Midtøsten og Sør-Asia. Siden noen av innbyggingene av skadelig programvare fortsatt er under utvikling, er det avgjørende for cybersikkerhetsteam å holde øye med mulige angrep fra denne aktøren. Vi håper vår analyse vil bidra til å forhindre GoldenJackals aktiviteter."