Kaspersky telah menemui kumpulan jenayah siber baharu. Kumpulan itu, yang dipanggil GoldenJackal, telah aktif sejak 2019 tetapi tidak mempunyai profil awam dan sebahagian besarnya masih menjadi misteri. Menurut maklumat yang diperoleh daripada penyelidikan, kumpulan itu menyasarkan terutamanya institusi awam dan diplomatik di Timur Tengah dan Asia Selatan.
Kaspersky mula memantau GoldenJakal pada pertengahan 2020. Kumpulan ini sepadan dengan pelakon ancaman yang mahir dan berjubah sederhana dan mempamerkan aliran aktiviti yang konsisten. Ciri utama kumpulan itu ialah sasaran mereka adalah untuk merampas komputer, merebak antara sistem melalui pemacu boleh tanggal dan mencuri fail tertentu. Ini menunjukkan bahawa tujuan utama pelaku ancaman adalah pengintipan.
Menurut penyelidikan Kaspersky, pelaku ancaman menggunakan pemasang Skype palsu dan dokumen Word berniat jahat sebagai vektor awal untuk serangan. Pemasang Skype palsu terdiri daripada fail boleh laku kira-kira 400 MB dan mengandungi Trojan JackalControl dan pemasang Skype for Business yang sah. Penggunaan pertama alat ini bermula sejak 2020. Satu lagi vektor jangkitan adalah berdasarkan dokumen berniat jahat yang mengeksploitasi kerentanan Follina, menggunakan teknik suntikan templat jauh untuk memuat turun halaman HTML yang dibina khas.
Dokumen itu bertajuk "Galeri Pegawai Yang Telah Menerima Anugerah Kebangsaan dan Asing.docx" dan nampaknya merupakan pekeliling yang sah yang meminta maklumat tentang pegawai yang dianugerahkan oleh kerajaan Pakistan. Maklumat tentang kerentanan Follina mula-mula dikongsi pada 29 Mei 2022, dan dokumen itu ditukar pada 1 Jun, dua hari selepas pelepasan kerentanan itu, menurut rekod. Dokumen itu pertama kali dikesan pada 2 Jun. Melancarkan boleh laku yang mengandungi perisian hasad JackalControl Trojan selepas memuat turun objek dokumen luaran yang dikonfigurasikan untuk memuatkan objek luaran daripada tapak web yang sah dan terjejas.
Serangan JackalControl, dikawal dari jauh
Serangan JackalControl berfungsi sebagai Trojan utama yang membolehkan penyerang mengawal mesin sasaran dari jauh. Selama bertahun-tahun, penyerang telah mengedarkan pelbagai varian perisian hasad ini. Sesetengah varian mengandungi kod tambahan untuk mengekalkan keabadian mereka, manakala yang lain dikonfigurasikan untuk beroperasi tanpa menjangkiti sistem. Mesin sering dijangkiti melalui komponen lain seperti skrip kelompok.
Alat penting kedua yang digunakan secara meluas oleh kumpulan GoldenJackal ialah JackalSteal. Alat ini boleh digunakan untuk memantau pemacu USB boleh tanggal, perkongsian jauh dan semua pemacu logik pada sistem yang disasarkan. Malware boleh berjalan sebagai proses atau perkhidmatan standard. Walau bagaimanapun, ia tidak dapat mengekalkan kegigihannya dan oleh itu perlu dimuatkan oleh komponen lain.
Akhir sekali, GoldenJackal menggunakan beberapa alatan tambahan seperti JackalWorm, JackalPerInfo dan JackalScreenWatcher. Alat ini digunakan dalam situasi tertentu yang disaksikan oleh penyelidik Kaspersky. Kit alat ini bertujuan untuk mengawal mesin mangsa, mencuri bukti kelayakan, mengambil tangkapan skrin desktop dan menunjukkan kecenderungan untuk pengintipan sebagai sasaran utama.
Giampaolo Dedola, Penyelidik Keselamatan Kanan di Pasukan Penyelidikan dan Analisis Global Kaspersky (GReAT), berkata:
“GoldenJackal ialah seorang pelakon APT yang menarik cuba untuk menjauhkan diri daripada pandangan dengan profil rendahnya. Walaupun mula beroperasi pada Jun 2019, mereka telah berjaya menyembunyikan diri. Dengan kit alat perisian hasad termaju, pelakon ini sangat prolifik dalam serangannya terhadap organisasi awam dan diplomatik di Timur Tengah dan Asia Selatan. Memandangkan beberapa benaman perisian hasad masih dalam pembangunan, adalah penting bagi pasukan keselamatan siber untuk memerhatikan kemungkinan serangan oleh pelakon ini. Kami berharap analisis kami akan membantu menghalang aktiviti GoldenJackal.”