Um ator de ameaça pouco conhecido rastreado como GoldenJackal tem sido associada a uma série de ataques cibernéticos contra embaixadas e organizações governamentais com o objetivo de se infiltrar em sistemas isolados usando dois conjuntos de ferramentas diferentes e personalizados.
As vítimas incluíram uma embaixada do Sul da Ásia na Bielorrússia e uma organização governamental da União Europeia (UE), disse a empresa eslovaca de segurança cibernética ESET.
“O objetivo closing do GoldenJackal parece ser roubar informações confidenciais, especialmente de máquinas de alto perfil que podem não estar conectadas à Web”, observou o pesquisador de segurança Matías Porolli em uma análise exaustiva.
GoldenJackal veio à tona pela primeira vez em maio de 2023, quando o fornecedor de segurança russo Kaspersky detalhou os ataques do cluster de ameaças a entidades governamentais e diplomáticas no Oriente Médio e no Sul da Ásia. As origens do adversário remontam pelo menos a 2019.
Uma característica importante das invasões é o uso de um worm chamado JackalWorm, que é capaz de infectar unidades USB conectadas e entregar um trojan chamado JackalControl.
Embora não existam informações suficientes para vincular de forma conclusiva as atividades a uma ameaça específica do Estado-nação, existe alguma sobreposição tática com ferramentas maliciosas utilizadas em campanhas ligadas ao Turla e ao MoustachedBouncer, o último dos quais também destacou embaixadas estrangeiras na Bielorrússia.
A ESET disse ter descoberto artefatos GoldenJackal em uma embaixada do sul da Ásia na Bielorrússia em agosto e setembro de 2019, e novamente em julho de 2021. De specific interesse é como o ator da ameaça também conseguiu implantar um conjunto de ferramentas completamente renovado entre maio de 2022 e março de 2024 contra uma UE. entidade governamental.
“Com o nível de sofisticação exigido, é bastante incomum que em cinco anos a GoldenJackal tenha conseguido construir e implantar não um, mas dois conjuntos de ferramentas separados projetados para comprometer sistemas isolados”, apontou Porolli. “Isso demonstra a desenvoltura do grupo.”
Diz-se que o ataque contra a embaixada do Sul da Ásia na Bielorrússia fez uso de três famílias diferentes de malware, além de JackalControl, JackalSteal e JackalWorm –
- GoldenDealerque é usado para entregar executáveis ao sistema isolado por meio de unidades USB comprometidas
- GoldenHowlum backdoor modular com recursos para roubar arquivos, criar tarefas agendadas, fazer add/obtain de arquivos de e para um servidor remoto e criar um túnel SSH, e
- GoldenRoboum coletor de arquivos e ferramenta de exfiltração de dados
Por outro lado, descobriu-se que os ataques direcionados à organização governamental não identificada na Europa dependem de um conjunto inteiramente novo de ferramentas de malware, escritas principalmente em Go. Eles são projetados para coletar arquivos de unidades USB, espalhar malware através de unidades USB, exfiltrar dados e usar alguns servidores de máquina como servidores de teste para distribuir cargas úteis para outros hosts –
- GoldenUsbCopy e seu sucessor melhorado GoldenUsbGoque monitora unidades USB e copia arquivos para exfiltração
- GoldenAceque é usado para propagar o malware, incluindo uma versão leve do JackalWorm, para outros sistemas (não necessariamente aqueles que são isolados) usando unidades USB
- Lista Negra Dourada e sua implementação Python Lista negra GoldenPyque são projetados para processar mensagens de e-mail de interesse para posterior exfiltração
- GoldenMailerque envia as informações roubadas aos invasores por e-mail
- GoldenDriveque carrega informações roubadas para o Google Drive
Atualmente não se sabe como o GoldenJackal consegue obter um compromisso inicial para violar os ambientes alvo. No entanto, a Kaspersky aludiu anteriormente à possibilidade de instaladores trojanizados do Skype e documentos maliciosos do Microsoft Phrase como pontos de entrada.
O GoldenDealer, que já está presente em um computador conectado à web e entregue por meio de um mecanismo ainda indeterminado, entra em ação quando um drive USB é inserido, fazendo com que ele mesmo e um componente desconhecido do worm sejam copiados para o dispositivo removível.
Suspeita-se que o componente desconhecido seja executado quando a unidade USB infectada é conectada ao sistema isolado, após o que o GoldenDealer salva informações sobre a máquina na unidade USB.
Quando o dispositivo USB é inserido pela segunda vez na máquina conectada à Web acima mencionada, o GoldenDealer passa as informações armazenadas na unidade para um servidor externo, que então responde com cargas apropriadas para serem executadas no sistema isolado.
O malware também é responsável por copiar os executáveis baixados para a unidade USB. No último estágio, quando o dispositivo é conectado novamente à máquina com air hole, o GoldenDealer pega os executáveis copiados e os executa.
Por sua vez, o GoldenRobo também é executado no PC conectado à Web e está equipado para retirar os arquivos do drive USB e transmiti-los ao servidor controlado pelo invasor. O malware, escrito em Go, recebe esse nome devido ao uso de um utilitário legítimo do Home windows chamado robocopy para copiar os arquivos.
A ESET disse que ainda não descobriu um módulo separado que cuide da cópia dos arquivos do computador isolado para o próprio drive USB.
“Conseguir implantar dois conjuntos de ferramentas separados para violar redes isoladas em apenas cinco anos mostra que GoldenJackal é um ator de ameaça sofisticado, ciente da segmentação de rede usada por seus alvos”, disse Porolli.
