Касперський виявив нову групу кіберзлочинців. Група під назвою GoldenJackal діє з 2019 року, але не має загальнодоступного профілю та залишається в основному таємницею. Згідно з інформацією, отриманою в результаті дослідження, угруповання в основному націлено на державні та дипломатичні установи на Близькому Сході та в Південній Азії.
Kaspersky почав стежити за GoldenJakal в середині 2020 року. Ця група відповідає вмілому та помірно прихованому учаснику загрози та демонструє послідовний потік активності. Головна особливість угруповання полягає в тому, що їхні цілі — викрадення комп’ютерів, поширення між системами через знімні диски та викрадення певних файлів. Це свідчить про те, що основними цілями зловмисника є шпигунство.
Згідно з дослідженням Касперського, зловмисник використовує підроблені інсталятори Skype і шкідливі документи Word як вихідні вектори для атак. Фальшивий інсталятор Skype складається з виконуваного файлу розміром приблизно 400 МБ і містить троян JackalControl і законний інсталятор Skype для бізнесу. Перше використання цього інструменту датується 2020 роком. Інший вектор зараження заснований на шкідливому документі, який використовує вразливість Follina, використовуючи техніку віддаленого впровадження шаблону для завантаження спеціально створеної сторінки HTML.
Документ має назву «Галерея офіцерів, які отримали національні та іноземні нагороди.docx» і виглядає як законний циркуляр із запитом на інформацію про офіцерів, нагороджених урядом Пакистану. Згідно із записами, інформація про вразливість Follina була вперше опублікована 29 травня 2022 року, а документ було змінено 1 червня, через два дні після публікації вразливості. Вперше документ був помічений 2 червня. Запуск виконуваного файлу, що містить зловмисне програмне забезпечення трояна JackalControl, після завантаження зовнішнього об’єкта документа, налаштованого на завантаження зовнішнього об’єкта з законного та скомпрометованого веб-сайту.
Атака JackalControl, дистанційно керована
Атака JackalControl є основним трояном, який дозволяє зловмисникам дистанційно керувати цільовою машиною. Протягом багатьох років зловмисники поширювали різні варіанти цього шкідливого програмного забезпечення. Деякі варіанти містять додаткові коди для підтримки їх постійності, а інші налаштовані на роботу без зараження системи. Машини часто заражаються через інші компоненти, наприклад пакетні сценарії.
Другим важливим інструментом, який широко використовується групою GoldenJackal, є JackalSteal. Цей інструмент можна використовувати для моніторингу знімних USB-накопичувачів, віддалених спільних ресурсів і всіх логічних дисків у цільовій системі. Зловмисне програмне забезпечення може працювати як стандартний процес або служба. Однак він не може підтримувати свою постійність, тому його потрібно завантажити іншим компонентом.
Нарешті, GoldenJackal використовує низку додаткових інструментів, таких як JackalWorm, JackalPerInfo та JackalScreenWatcher. Ці інструменти використовуються в конкретних ситуаціях, свідками яких стали дослідники Kaspersky. Цей набір інструментів призначений для керування машинами жертв, викрадення облікових даних, створення скріншотів робочих столів і визначення схильності до шпигунства як кінцевої цілі.
Джампаоло Дедола, старший дослідник з безпеки глобальної дослідницько-аналітичної групи Kaspersky (GReAT), сказав:
«GoldenJackal — цікавий актор APT, який намагається залишатися поза увагою через свій низький профіль. Незважаючи на початок операцій у червні 2019 року, їм вдалося залишитися прихованими. Завдяки вдосконаленому набору шкідливих програм, цей актор був досить плідним у своїх атаках на громадські та дипломатичні організації на Близькому Сході та в Південній Азії. Оскільки деякі вбудовані зловмисні програми все ще знаходяться на стадії розробки, командам із кібербезпеки вкрай важливо стежити за можливими атаками цього суб’єкта. Ми сподіваємося, що наш аналіз допоможе запобігти діяльності GoldenJackal».