Kaspersky har upptäckt en ny cyberbrottsgrupp. Gruppen, kallad GoldenJackal, har varit aktiv sedan 2019 men har ingen offentlig profil och förblir till stor del ett mysterium. Enligt informationen från forskningen riktar sig gruppen främst till offentliga och diplomatiska institutioner i Mellanöstern och Sydasien.
Kaspersky började övervaka GoldenJakal i mitten av 2020. Denna grupp motsvarar en skicklig och måttligt täckt hotaktör och uppvisar ett konsekvent aktivitetsflöde. Huvuddragen för gruppen är att deras mål är att kapa datorer, sprida mellan system via flyttbara enheter och stjäla vissa filer. Detta visar att hotaktörens huvudsyfte är spionage.
Enligt Kasperskys forskning använder hotaktören falska Skype-installatörer och skadliga Word-dokument som initiala vektorer för attacker. Det falska Skype-installationsprogrammet består av en körbar fil på cirka 400 MB och innehåller JackalControl-trojanen och ett legitimt Skype for Business-installationsprogram. Den första användningen av detta verktyg går tillbaka till 2020. En annan infektionsvektor är baserad på ett skadligt dokument som utnyttjar Follina-sårbarheten, med hjälp av en fjärrinsprutningsteknik för att ladda ner en specialbyggd HTML-sida.
Dokumentet har titeln "Gallery of Officers Who Have Received National and Foreign Awards.docx" och verkar vara ett legitimt cirkulär som begär information om officerare som tilldelats av den pakistanska regeringen. Information om Follina-sårbarheten delades först den 29 maj 2022, och dokumentet ändrades den 1 juni, två dagar efter att sårbarheten släpptes, enligt uppgifterna. Dokumentet sågs första gången den 2 juni. Starta den körbara filen som innehåller JackalControl Trojan malware efter att ha laddat ner det externa dokumentobjektet som är konfigurerat att ladda ett externt objekt från en legitim och komprometterad webbplats.
JackalControl attack, fjärrstyrd
JackalControl-attacken fungerar som den huvudsakliga trojanen som tillåter angripare att fjärrstyra målmaskinen. Under åren har angripare distribuerat olika varianter av denna skadliga programvara. Vissa varianter innehåller ytterligare koder för att behålla sin beständighet, medan andra är konfigurerade att fungera utan att infektera systemet. Maskiner är ofta infekterade genom andra komponenter såsom batch-skript.
Det andra viktiga verktyget som ofta används av GoldenJackal-gruppen är JackalSteal. Det här verktyget kan användas för att övervaka flyttbara USB-enheter, fjärrresurser och alla logiska enheter på det riktade systemet. Skadlig programvara kan köras som en standardprocess eller tjänst. Den kan dock inte behålla sin uthållighet och måste därför laddas av en annan komponent.
Slutligen använder GoldenJackal ett antal ytterligare verktyg som JackalWorm, JackalPerInfo och JackalScreenWatcher. Dessa verktyg används i specifika situationer som Kaspersky-forskare bevittnar. Denna verktygslåda syftar till att kontrollera offrens maskiner, stjäla referenser, ta skärmdumpar av stationära datorer och indikera en benägenhet för spionage som det ultimata målet.
Giampaolo Dedola, senior säkerhetsforskare vid Kaspersky Global Research and Analysis Team (GReAT), sa:
"GoldenJackal är en intressant APT-skådespelare som försöker hålla sig utom synhåll med sin låga profil. Trots den första verksamheten i juni 2019 har de lyckats hålla sig dolda. Med en avancerad verktygslåda för skadlig programvara har den här aktören varit mycket produktiv i sina attacker mot offentliga och diplomatiska organisationer i Mellanöstern och Sydasien. Eftersom en del av inbäddningarna av skadlig programvara fortfarande är under utveckling är det avgörande för cybersäkerhetsteam att hålla utkik efter eventuella attacker från denna aktör. Vi hoppas att vår analys kommer att hjälpa till att förhindra GoldenJackals aktiviteter.”