Un grup de hackeri APT cunoscut sub numele de GoldenJackal a reușit să spargă sisteme guvernamentale air-gapped din Europa folosind două seturi de instrumente personalizate pentru a fura date sensibile, cum ar fi e-mailuri, chei de criptare, imagini, arhive și documente.
Potrivit unui raport ESET, acest lucru s-a întâmplat de cel puțin două ori, o dată împotriva ambasadei unei țări din Asia de Sud în Belarus în septembrie 2019 și din nou în iulie 2021, și încă o dată împotriva unei organizații guvernamentale europene între mai 2022 și martie 2024.
În mai 2023, Kaspersky a avertizat cu privire la activitățile GoldenJackal, remarcând că actorii amenințării se concentrează pe entități guvernamentale și diplomatice în scopuri de spionaj.
Chiar dacă utilizarea lor de instrumente personalizate răspândite prin unități USB, cum ar fi ‘JackalWorm,’ era cunoscută, cazurile de compromitere reușită a sistemelor air-gapped nu au fost confirmate anterior.
Sistemele air-gapped sunt folosite în operațiuni critice, care gestionează adesea informații confidențiale și sunt izolate de rețelele deschise ca măsură de protecție.
Atacurile mai vechi observate de ESET încep prin infectarea sistemelor conectate la internet, probabil folosind software troianizat sau documente maligne, cu un malware numit ‘GoldenDealer.’
GoldenDealer monitorizează inserția unităților USB pe acele sisteme, iar atunci când se întâmplă acest lucru, copiază automat el însuși și alte componente maligne pe aceasta.
În cele din urmă, aceeași unitate USB este inserată într-un computer air-gapped, permițându-i lui GoldenDealer să instaleze GoldenHowl (un backdoor) și GoldenRobo (un furt de fișiere) pe aceste sisteme izolate.
În timpul acestei faze, GoldenRobo scanează sistemul pentru documente, imagini, certificate, chei de criptare, arhive, fișiere de configurare OpenVPN și alte informații valoroase și le stochează într-un director ascuns de pe unitatea USB.
Când unitatea USB este scoasă din computerul air-gapped și reconectată la sistemul original conectat la internet, GoldenDealer trimite automat datele furate stocate pe unitate către serverul de control și comandă (C2) al actorului amenințării.
GoldenHowl este un backdoor Python multifuncțional care poate fura fișiere, facilita persistența, scana vulnerabilități și comunica direct cu C2. ESET spune că pare să fie proiectat să ruleze pe mașini conectate la internet.
În 2022, GoldenJackal a început să folosească un nou set de instrumente modular bazat pe Go care desfășura activități similare celor descrise în secțiunea anterioară, dar permitea atacatorilor să își însărcineze diferite mașini cu roluri separate.
De exemplu, unele mașini erau folosite pentru exfiltrarea de fișiere, în timp ce altele acționau ca puncte de stocare a fișierelor sau de distribuție a configurației.
Noul malware folosit pentru infectarea USB este numit GoldenAce, iar instrumentele care fură fișiere și le trimit la atacatori poartă numele de ‘GoldenUsbCopy’ și ‘GoldenUsbGo’, ultimul fiind o variantă mai recentă a primului.
GoldenUsbGo nu mai folosește configurații criptate AES, ci exfiltrează fișiere pe baza unor instrucțiuni hardcodate, inclusiv fișiere recent (până la 14 zile) modificate, mai mici de 20 MB și care se potrivesc anumitor tipuri de conținut (cuvinte cheie precum ‘pass’, ‘login’ sau ‘key’) sau anumite tipuri de fișiere (.pdf, .doc/.docx, .sh, .bat).
Un alt component de malware interesant este GoldenBlacklist (și implementarea sa bazată pe Python, GoldenPyBlacklist), care filtrează și arhivează mesaje email specifice din sistemele compromise înainte de exfiltrare.
În cele din urmă, există GoldenMailer, care trimite prin email informațiile furate atacatorilor, și GoldenDrive, care încarcă datele pe Google Drive.
Prezența a două seturi de instrumente care se suprapun și cu instrumentele descrise în raportul Kaspersky demonstrează capacitatea lui GoldenJackal de a dezvolta noi malware-uri personalizate și de a le optimiza pentru operațiuni de spionaj discrete.
Pentru o listă completă a indicatorilor de compromitere (IoCs) asociată cu toate aceste instrumente, puteți verifica această pagină GitHub.
Microsoft: Hackerii sub acoperire Flax Typhoon folosesc LOLBins pentru a evita detectarea
Noul malware Voldemort abuzează Google Sheets pentru a stoca date furate
Coreea de Sud spune că hackerii din DPRK au furat date tehnice ale unui avion spion
Un ucrainean recunoaște că a operat malware-ul Raccoon Stealer
Botnetul Quad7 vizează mai multe routere SOHO și VPN, servere media
Leave a Reply