Kaspersky atrado naują elektroninių nusikaltimų grupę. Grupė, pavadinta GoldenJackal, veikia nuo 2019 m., tačiau neturi viešo profilio ir tebėra paslaptis. Remiantis tyrimo metu gauta informacija, grupė daugiausia taikosi į viešąsias ir diplomatines institucijas Viduriniuose Rytuose ir Pietų Azijoje.
Kaspersky pradėjo stebėti GoldenJakal 2020 m. viduryje. Ši grupė atitinka kvalifikuotą ir vidutiniškai prisidengusį grėsmės veikėją ir demonstruoja nuoseklų veiklos srautą. Pagrindinis grupės bruožas yra tai, kad jų taikiniai yra užgrobti kompiuterius, platinti tarp sistemų per išimamus diskus ir pavogti tam tikrus failus. Tai rodo, kad pagrindiniai grėsmės veikėjo tikslai yra šnipinėjimas.
Remiantis „Kaspersky“ tyrimais, grėsmės veikėjas naudoja netikras „Skype“ diegimo programas ir kenkėjiškus „Word“ dokumentus kaip pradinius atakų vektorius. Netikrą „Skype“ diegimo programą sudaro maždaug 400 MB vykdomasis failas, kuriame yra „JackalControl“ Trojos arklys ir teisėta „Skype“ verslui diegimo programa. Pirmą kartą šis įrankis buvo naudojamas 2020 m. Kitas infekcijos vektorius yra pagrįstas kenkėjišku dokumentu, kuris išnaudoja „Follina“ pažeidžiamumą, naudojant nuotolinio šablono įpurškimo techniką, kad atsisiųstų specialiai sukurtą HTML puslapį.
Dokumentas pavadintas „Nacionalinius ir užsienio apdovanojimus gavusių pareigūnų galerija.docx“ ir atrodo, kad tai teisėtas aplinkraštis, kuriame prašoma informacijos apie Pakistano vyriausybės apdovanotus pareigūnus. Informacija apie „Follina“ pažeidžiamumą pirmą kartą buvo pasidalinta 29 m. gegužės 2022 d., o dokumentas buvo pakeistas birželio 1 d., praėjus dviem dienoms po pažeidžiamumo išleidimo, remiantis įrašais. Pirmą kartą dokumentas buvo pastebėtas birželio 2 d. Vykdomosios programos, kurioje yra JackalControl Trojan kenkėjiška programa, paleidimas atsisiuntus išorinį dokumento objektą, sukonfigūruotą įkelti išorinį objektą iš teisėtos ir pažeistos svetainės.
JackalControl ataka, valdoma nuotoliniu būdu
„JackalControl“ ataka yra pagrindinis Trojos arklys, leidžiantis užpuolikams nuotoliniu būdu valdyti tikslinę mašiną. Bėgant metams užpuolikai platino skirtingus šios kenkėjiškos programos variantus. Kai kuriuose variantuose yra papildomų kodų, kad būtų išlaikytas jų pastovumas, o kiti sukonfigūruoti veikti neužkrėsdami sistemos. Mašinos dažnai užkrėstos per kitus komponentus, pvz., paketinius scenarijus.
Antras svarbus įrankis, plačiai naudojamas GoldenJackal grupės, yra JackalSteal. Šį įrankį galima naudoti keičiamiems USB diskams, nuotoliniam bendrinimui ir visiems tikslinės sistemos loginiams diskams stebėti. Kenkėjiška programa gali veikti kaip standartinis procesas arba paslauga. Tačiau jis negali išlaikyti savo patvarumo, todėl jį reikia įkelti kitu komponentu.
Galiausiai GoldenJackal naudoja daugybę papildomų įrankių, tokių kaip JackalWorm, JackalPerInfo ir JackalScreenWatcher. Šios priemonės naudojamos konkrečiose situacijose, kurias liudija „Kaspersky“ tyrinėtojai. Šiuo įrankių rinkiniu siekiama valdyti aukų mašinas, pavogti kredencialus, daryti stalinių kompiuterių ekrano kopijas ir nurodyti polinkį į šnipinėjimą kaip pagrindinį taikinį.
Giampaolo Dedola, „Kaspersky Global Research and Analysis Team“ (GReAT) vyresnysis saugumo tyrėjas, sakė:
„GoldenJackal yra įdomus APT aktorius, savo žemu profiliu bandantis likti nuo akių. Nepaisant pirmųjų veiklos pradžios 2019 m. birželį, jie sugebėjo likti paslėpti. Turėdamas pažangų kenkėjiškų programų rinkinį, šis veikėjas labai produktyviai atakavo viešąsias ir diplomatines organizacijas Artimuosiuose Rytuose ir Pietų Azijoje. Kadangi kai kurios kenkėjiškos programos vis dar kuriamos, kibernetinio saugumo komandoms labai svarbu stebėti galimas šio veikėjo atakas. Tikimės, kad mūsų analizė padės užkirsti kelią GoldenJackal veiklai.