Um ator perigoso menos conhecido rastreado como GoldJackal tem sido associada a uma série de ataques cibernéticos contra embaixadas e agências governamentais com o objetivo de invadir sistemas usando duas ferramentas diferentes.
As vítimas incluem a embaixada do Sul da Ásia na Bielorrússia e uma agência governamental da União Europeia (UE), disse a empresa eslovaca de segurança cibernética ESET.
“O principal objetivo do GoldenJackal parece ser roubar informações confidenciais, especialmente de dispositivos de última geração que podem não estar conectados à Internet”, observa o pesquisador de segurança Matías Porolli em uma análise abrangente.
GoldenJackal apareceu pela primeira vez em maio de 2023, quando o fornecedor de segurança russo Kaspersky detalhou os ataques do grupo contra governos e organizações políticas no Oriente Médio e no Sul da Ásia. A origem do inimigo remonta pelo menos a 2019.
Um recurso importante de intrusão é o uso de um worm chamado JackalWorm, que pode infectar unidades USB conectadas e entregar um trojan chamado JackalControl.
Embora não exista informação suficiente para ligar as atividades a uma ameaça estatal específica, existe alguma sobreposição com as ferramentas brutais utilizadas nas campanhas ligadas a Turla e MustachedBouncer, este último também recrutando embaixadas estrangeiras na Bielorrússia.
A ESET disse que encontrou artefatos GoldenJackal da embaixada do Sul da Ásia na Bielo-Rússia em agosto e setembro de 2019, e novamente em julho de 2021. O mais interessante é como o ator da ameaça conseguiu lançar um dispositivo totalmente modificado entre maio de 2022 e março de 2024 contra a UE. . estrutura governamental.
“Com o nível de sofisticação exigido, é extraordinário que em cinco anos a GoldenJackal tenha sido capaz de construir e instalar não uma ferramenta, mas duas ferramentas diferentes projetadas para danificar sistemas isolados”, disse Porolli. “Isso demonstra a sofisticação da equipe.”
Diz-se que o ataque à embaixada do Sul da Ásia na Bielorrússia usou três famílias diferentes de malware, além de JackalControl, JackalSteal e JackalWorm –
- O Golden Dealerusado para entregar executáveis a um sistema com espaço aéreo por meio de unidades USB vulneráveis
- GoldenHowlum backdoor modular com a capacidade de roubar arquivos, criar tarefas agendadas, fazer upload/download de arquivos de e para um servidor remoto, criar um túnel SSH e
- GoldenRoboferramenta de coleta de arquivos e ferramenta de filtragem de dados
Por outro lado, descobriu-se que um ataque direcionado a uma agência governamental não identificada na Europa dependia de um novo conjunto de ferramentas de malware escritas em Go. Eles são projetados para coletar arquivos de unidades USB, distribuir malware através de unidades USB, extrair dados e usar determinados servidores de máquina como servidores de teste para distribuir cargas úteis para outros hosts –
- GoldenUsbCopy e seu sucessor melhorado GoldenUsbGoque monitora unidades USB e copia arquivos para extraí-los
- Ás Douradousado para distribuir malware, incluindo uma versão leve do JackalWorm, para outros sistemas (não os isolados) usando unidades USB.
- A lista negra dourada e sua implementação Python Lista negra GoldenPyprojetado para processar mensagens de e-mail de interesse para liberação posterior
- O GoldenMailerque envia informações roubadas para invasores por e-mail
- GoldenDriveque carrega informações roubadas para o Google Drive
Ainda não se sabe como o GoldenJackal consegue encontrar compromissos para violar os alvos. No entanto, a Kaspersky já havia falado sobre a possibilidade de instaladores trojanizados do Skype e scripts maliciosos do Microsoft Word como pontos de entrada.
O GoldenDealer, que já existe em um computador conectado à Internet e é entregue anonimamente, entra em ação quando um drive USB é inserido, fazendo com que ele mesmo e uma parte desconhecida do worm sejam copiados para o dispositivo removível.
Suspeita-se que um componente desconhecido seja usado quando uma unidade USB infectada é conectada a um sistema com espaço aéreo, fazendo com que o GoldenDealer armazene informações sobre o dispositivo na unidade USB.
Quando o dispositivo USB é inserido pela segunda vez no dispositivo conectado à Internet mencionado acima, o GoldenDealer transmite as informações armazenadas na unidade para um servidor externo, que então responde com as cargas apropriadas para serem usadas no sistema do espaço aéreo.
O malware também é responsável por copiar executáveis baixados para uma unidade USB. Na etapa final, quando o dispositivo é conectado novamente à máquina com espaço aéreo, o GoldenDealer pega a transação copiada e a executa.
Por outro lado, o GoldenRobo também é usado em um PC conectado à Internet e está equipado para retirar arquivos de um drive USB e transferi-los para um servidor controlado pelo invasor. O malware, escrito em Go, recebe esse nome devido ao uso de um utilitário oficial do Windows chamado robocopy para copiar arquivos.
A ESET disse que ainda não inventou um módulo separado que se encarrega de copiar arquivos de um computador com espaço aéreo para o próprio drive USB.
“Conseguir distribuir duas ferramentas diferentes para violar redes aéreas fechadas em apenas cinco anos mostra que GoldenJackal é um ator malicioso com conhecimento da fragmentação de rede usada para seus propósitos”, disse Porolli.
