Kaspersky on löytänyt uuden kyberrikollisryhmän. GoldenJackal-niminen ryhmä on ollut aktiivinen vuodesta 2019, mutta sillä ei ole julkista profiilia ja se on suurelta osin mysteeri. Tutkimuksesta saatujen tietojen mukaan ryhmä kohdistuu pääasiassa Lähi-idän ja Etelä-Aasian julkisiin ja diplomaattisiin instituutioihin.
Kaspersky aloitti GoldenJakalin seurannan vuoden 2020 puolivälissä. Tämä ryhmä vastaa taitavaa ja kohtalaisen naamioitunutta uhkatoimijaa, ja sen toiminta on jatkuvaa. Ryhmän pääpiirre on, että niiden kohteena on kaapata tietokoneita, levittää järjestelmien välillä irrotettavien asemien kautta ja varastaa tiettyjä tiedostoja. Tämä osoittaa, että uhkatoimijan päätarkoitukset ovat vakoilu.
Kasperskyn tutkimuksen mukaan uhkatekijä käyttää väärennettyjä Skype-asennusohjelmia ja haitallisia Word-asiakirjoja hyökkäysten alkuvektorina. Väärennetty Skype-asennusohjelma koostuu noin 400 Mt:n suoritettavasta tiedostosta ja sisältää JackalControl-troijalaisen ja laillisen Skype for Business -asennusohjelman. Tämän työkalun ensimmäinen käyttökerta on vuodelta 2020. Toinen tartuntavektori perustuu haitalliseen asiakirjaan, joka hyödyntää Follina-haavoittuvuutta käyttämällä mallipohjan etäsyöttötekniikkaa tarkoitukseen rakennetun HTML-sivun lataamiseen.
Asiakirjan otsikko on "Gallery of Officers, jotka ovat saaneet kansallisia ja ulkomaisia palkintoja.docx", ja se näyttää olevan laillinen kiertokirje, jossa pyydetään tietoja Pakistanin hallituksen myöntämistä upseereista. Tietoa Follina-haavoittuvuudesta jaettiin ensimmäisen kerran 29. toukokuuta 2022 ja asiakirjaa muutettiin 1. kesäkuuta, kaksi päivää haavoittuvuuden julkaisemisen jälkeen. Dokumentti havaittiin ensimmäisen kerran 2. kesäkuuta. JackalControl-troijalaisen haittaohjelman sisältävän suoritettavan tiedoston käynnistäminen sen jälkeen, kun on ladattu ulkoinen asiakirjaobjekti, joka on määritetty lataamaan ulkoinen objekti lailliselta ja vaarantuneelta verkkosivustolta.
JackalControl-hyökkäys, kauko-ohjattu
JackalControl-hyökkäys toimii päätroijalaisena, jonka avulla hyökkääjät voivat etäohjata kohdekonetta. Hyökkääjät ovat vuosien varrella levittäneet tämän haittaohjelman erilaisia versioita. Jotkut versiot sisältävät lisäkoodeja pysyvyyden säilyttämiseksi, kun taas toiset on määritetty toimimaan järjestelmää tartuttamatta. Koneet saavat usein tartunnan muiden komponenttien, kuten eräkomentosarjojen, kautta.
Toinen tärkeä GoldenJackal-ryhmän laajasti käyttämä työkalu on JackalSteal. Tätä työkalua voidaan käyttää siirrettävien USB-asemien, etäosuuksien ja kaikkien kohteena olevan järjestelmän loogisten asemien valvontaan. Haittaohjelma voi toimia vakioprosessina tai -palveluna. Se ei kuitenkaan voi säilyttää pysyvyyttään, ja siksi se on ladattava toisella komponentilla.
Lopuksi GoldenJackal käyttää useita lisätyökaluja, kuten JackalWorm, JackalPerInfo ja JackalScreenWatcher. Näitä työkaluja käytetään tietyissä tilanteissa, joissa Kasperskyn tutkijat ovat nähneet. Tämän työkalupakin tarkoituksena on hallita uhrien koneita, varastaa tunnistetietoja, ottaa kuvakaappauksia pöytäkoneista ja osoittaa vakoilualttiuden perimmäisenä kohteena.
Giampaolo Dedola, Kaspersky Global Research and Analysis Teamin (GReAT) vanhempi tietoturvatutkija, sanoi:
"GoldenJackal on mielenkiintoinen APT-näyttelijä, joka yrittää pysyä poissa näkyvistä matalalla profiilillaan. Huolimatta ensimmäisistä toiminnan aloittamisesta kesäkuussa 2019, ne ovat onnistuneet pysymään piilossa. Kehittyneen haittaohjelmatyökalupakin ansiosta tämä toimija on ollut erittäin tuottelias hyökkäyksissään Lähi-idän ja Etelä-Aasian julkisia ja diplomaattisia organisaatioita vastaan. Koska osa haittaohjelmista on vielä kehitteillä, kyberturvatiimien on erittäin tärkeää pitää silmällä tämän toimijan mahdollisia hyökkäyksiä. Toivomme, että analyysimme auttaa estämään GoldenJackalin toimintaa."