Σύμφωνα με ερευνητές ασφαλείας, μια σχετικά άγνωστη ομάδα απειλών APT με το όνομα “GoldenJackal” στοχεύει κυβερνητικές και διπλωματικές οντότητες στην Ασία από το 2019. Στόχος είναι η κυβερνοκατασκοπεία.
Οι επιτιθέμενοι φαίνεται πως προσπαθούσαν να διατηρήσουν χαμηλό προφίλ, επιλέγοντας προσεκτικά τα θύματά τους και πραγματοποιώντας μικρό αριθμό επιθέσεων, για να μειώσουν την πιθανότητα εντοπισμού.
Ωστόσο, η Kaspersky παρακολουθεί την ομάδα GoldenJackal από το 2020. Τώρα αναφέρει ότι οι hackers είχαν αξιοσημείωτη δραστηριότητα στο Αφγανιστάν, το Αζερμπαϊτζάν, το Ιράν, το Ιράκ, το Πακιστάν και την Τουρκία.
“Η GoldenJackal είναι μια ομάδα APT, που δραστηριοποιείται από το 2019 και στοχεύει συνήθως κυβερνητικές και διπλωματικές οντότητες στη Μέση Ανατολή και τη Νότια Ασία“, εξηγεί η Kaspersky.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/466299/goldenjackal-hackers-stoxeuoun-kiverniseis-apo-2019/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/https://www.secnews.gr/wp-content/uploads/2022/11/hackers-min.jpg&description=Σύμφωνα με ερευνητές ασφαλείας, μια σχετικά άγνωστη ομάδα απειλών APT με το όνομα "GoldenJackal" στοχεύει κυβερνητικές και διπλωματικές){kind=link}
“Παρά το γεγονός ότι ξεκίνησαν τις δραστηριότητές τους πριν από χρόνια, αυτή η ομάδα είναι γενικά άγνωστη και, από όσο γνωρίζουμε, δεν έχει περιγραφεί δημόσια“.
Δείτε επίσης: Play Store: Το “iRecorder – Screen Recorder” app ήταν malware
Προς το παρόν, οι ερευνητές δεν είναι σίγουροι για τους φορείς μόλυνσης που χρησιμοποιεί η ομάδα. Ωστόσο, έχουν παρατηρηθεί σημάδια λειτουργιών phishing με κακόβουλα έγγραφα που χρησιμοποιούν την τεχνική “remote template injection” για να εκμεταλλευτούν την ευπάθεια του Microsoft Office Follina.
Επιπλέον, η Kaspersky έχει δει trojanized ‘Skype for Business’ installers που εγκαθιστούν ένα trojan μαζί με ένα νόμιμο αντίγραφο του λογισμικού.
Οι ερευνητές έχουν παρατηρήσει ομοιότητες στον κώδικα και τις τεχνικές με την Turla, ωστόσο θεωρούν οι GoldenJackal hackers είναι ξεχωριστή ομάδα.
‘Jackal’ toolset
Σύμφωνα με την Kaspersky, η GoldenJackal χρησιμοποιεί ένα σύνολο προσαρμοσμένων .NET malware tools που παρέχουν διάφορες λειτουργίες (π.χ. κλοπή credentials, κλοπή δεδομένων, φόρτωση κακόβουλου λογισμικού, εξαγωγή αρχείων κ.ά.).
- Το κύριο payload που χρησιμοποιείται πρώτα για να μολύνει ένα σύστημα είναι το “JackalControl“, το οποίο δίνει στους hackers τον απομακρυσμένο έλεγχο της μολυσμένης συσκευής. Το κακόβουλο λογισμικό μπορεί να εκτελεστεί ως πρόγραμμα ή υπηρεσία των Windows και μπορεί να δημιουργήσει persistence. Λαμβάνει κωδικοποιημένες εντολές από τον διακομιστή C2 μέσω HTTP POST requests, οι οποίες αφορούν την εκτέλεση προγραμμάτων, την εξαγωγή αρχείων ή τη λήψη πρόσθετων payloads από το C2.
- Το δεύτερο εργαλείο είναι το “JackalSteal” για την εξαγωγή δεδομένων από όλα τα logical drives στον υπολογιστή που έχει παραβιαστεί. Όλα τα αρχεία που ταιριάζουν με τις καθορισμένες παραμέτρους κρυπτογραφούνται χρησιμοποιώντας AES, RSA ή DES, στη συνέχεια συμπιέζονται με GZIP και τελικά μεταδίδονται στον διακομιστή C2.
Δείτε επίσης: Κακόβουλοι Windows kernel drivers χρησιμοποιούνται σε επιθέσεις BlackCat ransomware
- Το τρίτο εργαλείο της ομάδας GoldenJackal είναι το “JackalWorm“, το οποίο μολύνει τις μονάδες USB για να εξαπλωθεί σε άλλους υπολογιστές.
- Το τέταρτο εργαλείο που χρησιμοποιείται από την Golden Jackal APT είναι το “JacklPerInfo“, ένας συλλέκτης πληροφοριών συστήματος που μπορεί, επίσης, να συλλέξει το ιστορικό περιήγησης και τα credentials που είναι αποθηκευμένα σε προγράμματα περιήγησης ιστού. Λειτουργώντας σαν ένα τυπικό κακόβουλο λογισμικό κλοπής πληροφοριών, το JacklPerInfo μπορεί επίσης να κλέψει αρχεία από τους καταλόγους Desktop, Documents, Downloads και AppData\Roaming\Microsoft\Windows\Recent.
- Το πέμπτο και τελευταίο εργαλείο που παρουσιάζεται στην αναφορά της Kaspersky είναι το “JackalScreenWatcher“, το οποίο χρησιμοποιείται για τη λήψη στιγμιότυπων οθόνης στη μολυσμένη συσκευή.
Περισσότερες λεπτομέρειες για το πώς ακριβώς λειτουργεί το κάθε εργαλείο, μπορείτε να βρείτε στην έκθεση της Kaspersky.
Δείτε επίσης: CISA: Ζητά από ομοσπονδιακούς οργανισμούς να ενημερώσουν άμεσα iPhone και Mac
Η σχετικά άγνωστη hacking ομάδα GoldenJackal χρησιμοποιεί ένα σύνολο custom εργαλείων εναντίον περιορισμένου αριθμού θυμάτων για να πραγματοποιήσει μακροχρόνιες επιχειρήσεις κατασκοπείας.
Αν και λίγα πράγματα είναι γνωστά για τις τακτικές των hackers, η ποικιλομορφία στις παρατηρούμενες αλυσίδες μόλυνσης και τα ισχυρά εργαλεία που χρησιμοποιούνται, δείχνουν ότι πρόκειται για έναν περίπλοκο παράγοντα απειλής.
Πηγή: www.bleepingcomputer.com