Kaspersky objevil novou skupinu kyberzločinců. Skupina s názvem GoldenJackal je aktivní od roku 2019, ale nemá žádný veřejný profil a zůstává do značné míry záhadou. Podle informací získaných z výzkumu skupina cílí především na veřejné a diplomatické instituce na Blízkém východě a v jižní Asii.
Kaspersky začal sledovat GoldenJakal v polovině roku 2020. Tato skupina odpovídá zkušenému a mírně maskovanému aktérovi hrozby a vykazuje konzistentní tok aktivit. Hlavním rysem skupiny je, že jejich cílem je unést počítače, šířit se mezi systémy prostřednictvím vyměnitelných jednotek a krást určité soubory. To ukazuje, že hlavním účelem aktéra hrozby je špionáž.
Podle výzkumu společnosti Kaspersky používá hrozba falešné instalátory Skype a škodlivé dokumenty Wordu jako počáteční vektory útoků. Falešný instalační program Skype se skládá ze spustitelného souboru o velikosti přibližně 400 MB a obsahuje trojského koně JackalControl a legitimní instalační program Skype pro firmy. První použití tohoto nástroje se datuje do roku 2020. Další vektor infekce je založen na škodlivém dokumentu, který využívá zranitelnost Follina pomocí techniky vzdáleného vkládání šablon ke stažení účelově vytvořené stránky HTML.
Dokument se jmenuje „Galerie důstojníků, kteří obdrželi národní a zahraniční ocenění.docx“ a zdá se, že jde o legitimní oběžník požadující informace o důstojnících oceněných pákistánskou vládou. Informace o zranitelnosti Follina byly poprvé sdíleny 29. května 2022 a dokument byl podle záznamů změněn 1. června, dva dny po zveřejnění zranitelnosti. Dokument byl poprvé spatřen 2. června. Spuštění spustitelného souboru obsahujícího malware trojského koně JackalControl po stažení objektu externího dokumentu nakonfigurovaného k načtení externího objektu z legitimního a kompromitovaného webu.
Útok JackalControl, dálkově ovládaný
Útok JackalControl slouží jako hlavní trojský kůň, který útočníkům umožňuje vzdáleně ovládat cílový počítač. V průběhu let útočníci distribuovali různé varianty tohoto malwaru. Některé varianty obsahují další kódy pro zachování jejich stálosti, zatímco jiné jsou nakonfigurovány tak, aby fungovaly bez infikování systému. Počítače jsou často infikovány prostřednictvím jiných komponent, jako jsou dávkové skripty.
Druhým důležitým nástrojem široce používaným skupinou GoldenJackal je JackalSteal. Tento nástroj lze použít ke sledování vyměnitelných jednotek USB, vzdálených sdílených složek a všech logických jednotek v cílovém systému. Malware může běžet jako standardní proces nebo služba. Nedokáže si ale udržet svou perzistenci, a proto musí být zatížen jinou komponentou.
Nakonec GoldenJackal používá řadu dalších nástrojů, jako je JackalWorm, JackalPerInfo a JackalScreenWatcher. Tyto nástroje se používají ve specifických situacích, kterých byli svědky výzkumníci společnosti Kaspersky. Tato sada nástrojů si klade za cíl ovládat stroje obětí, krást přihlašovací údaje, pořizovat snímky obrazovek desktopů a označovat sklony ke špionáži jako konečný cíl.
Giampaolo Dedola, hlavní bezpečnostní výzkumník v Kaspersky Global Research and Analysis Team (GReAT), řekl:
„GoldenJackal je zajímavý herec APT, který se snaží zůstat mimo dohled se svým nízkým profilem. Navzdory prvnímu zahájení provozu v červnu 2019 se jim podařilo zůstat skryti. Díky pokročilé sadě malwarových nástrojů byl tento herec velmi plodný ve svých útocích na veřejné a diplomatické organizace na Středním východě a v jižní Asii. Vzhledem k tomu, že některé z vložení malwaru jsou stále ve vývoji, je pro týmy kybernetické bezpečnosti klíčové, aby sledovaly možné útoky tohoto aktéra. Doufáme, že naše analýza pomůže zabránit aktivitám GoldenJackal.“