Kaspersky objavil novú skupinu kyberzločincov. Skupina s názvom GoldenJackal je aktívna od roku 2019, ale nemá žiadny verejný profil a zostáva do značnej miery záhadou. Podľa informácií získaných z výskumu sa skupina zameriava najmä na verejné a diplomatické inštitúcie na Blízkom východe a v južnej Ázii.
Spoločnosť Kaspersky začala sledovať GoldenJakal v polovici roka 2020. Táto skupina zodpovedá skúsenému a mierne maskovanému aktérovi hrozby a vykazuje konzistentný tok aktivít. Hlavnou črtou skupiny je, že ich cieľom je uniesť počítače, šíriť sa medzi systémami prostredníctvom vymeniteľných jednotiek a ukradnúť určité súbory. To ukazuje, že hlavným účelom aktéra hrozby je špionáž.
Podľa výskumu spoločnosti Kaspersky, aktér hrozby používa falošné inštalátory Skype a škodlivé dokumenty Wordu ako počiatočné vektory útokov. Falošný inštalačný program Skype pozostáva zo spustiteľného súboru s veľkosťou približne 400 MB a obsahuje trójskeho koňa JackalControl a legitímny inštalačný program Skype for Business. Prvé použitie tohto nástroja sa datuje do roku 2020. Ďalší vektor infekcie je založený na škodlivom dokumente, ktorý využíva zraniteľnosť Follina pomocou techniky vzdialeného vstrekovania šablón na stiahnutie účelovo vytvorenej stránky HTML.
Dokument má názov „Galéria dôstojníkov, ktorí získali národné a zahraničné ocenenia.docx“ a zdá sa, že ide o legitímny obežník požadujúci informácie o dôstojníkoch ocenených pakistanskou vládou. Informácie o zraniteľnosti Follina boli prvýkrát zdieľané 29. mája 2022 a dokument bol podľa záznamov zmenený 1. júna, dva dni po zverejnení zraniteľnosti. Dokument bol prvýkrát zaznamenaný 2. júna. Spustenie spustiteľného súboru obsahujúceho malvér JackalControl Trojan po stiahnutí objektu externého dokumentu nakonfigurovaného na načítanie externého objektu z legitímnej a napadnutej webovej lokality.
Útok JackalControl, diaľkovo ovládaný
Útok JackalControl slúži ako hlavný trójsky kôň, ktorý útočníkom umožňuje vzdialene ovládať cieľový počítač. V priebehu rokov útočníci distribuovali rôzne varianty tohto malvéru. Niektoré varianty obsahujú dodatočné kódy na udržanie ich trvalosti, zatiaľ čo iné sú nakonfigurované tak, aby fungovali bez infikovania systému. Počítače sú často infikované prostredníctvom iných komponentov, ako sú dávkové skripty.
Druhým dôležitým nástrojom široko používaným skupinou GoldenJackal je JackalSteal. Tento nástroj možno použiť na monitorovanie vymeniteľných jednotiek USB, vzdialených zdieľaných priečinkov a všetkých logických jednotiek v cieľovom systéme. Malvér môže bežať ako štandardný proces alebo služba. Nedokáže si však udržať svoju perzistenciu, a preto je potrebné ho zaťažiť iným komponentom.
Nakoniec GoldenJackal používa množstvo ďalších nástrojov, ako sú JackalWorm, JackalPerInfo a JackalScreenWatcher. Tieto nástroje sa používajú v špecifických situáciách, ktorých svedkami sú výskumníci Kaspersky. Táto súprava nástrojov sa zameriava na ovládanie strojov obetí, kradnutie poverení, vytváranie snímok obrazovky desktopov a naznačovanie sklonu k špionáži ako konečného cieľa.
Giampaolo Dedola, hlavný bezpečnostný výskumník v Kaspersky Global Research and Analysis Team (GReAT), povedal:
„GoldenJackal je zaujímavý herec APT, ktorý sa snaží zostať mimo dohľadu so svojím nízkym profilom. Napriek prvému spusteniu prevádzky v júni 2019 sa im podarilo zostať skryté. S pokročilou súpravou malvérových nástrojov bol tento herec veľmi plodný vo svojich útokoch na verejné a diplomatické organizácie na Blízkom východe a v južnej Ázii. Keďže niektoré zo zabudovaných malvérov sú stále vo vývoji, je dôležité, aby tímy kybernetickej bezpečnosti dávali pozor na možné útoky tohto aktéra. Dúfame, že naša analýza pomôže zabrániť aktivitám GoldenJackal.“