Kaspersky đã phát hiện ra một nhóm tội phạm mạng mới. Mặc dù nhóm này có tên là GoldenJackal, đã hoạt động từ năm 2019 nhưng vẫn chưa có hồ sơ công khai và phần lớn vẫn còn bí ẩn. Theo thông tin thu được từ nghiên cứu, nhóm này thường nhắm mục tiêu vào các tổ chức công cộng và ngoại giao ở Trung Đông và Nam Á.
Kaspersky bắt đầu giám sát nhóm GoldenJakal vào giữa năm 2020. Nhóm này tương ứng với một kẻ đe dọa lành nghề với kỹ năng tàng hình vừa phải và thể hiện một luồng hoạt động nhất quán. Đặc điểm chính của nhóm này là mục tiêu của nó là chiếm quyền điều khiển máy tính, lây lan giữa các hệ thống thông qua ổ đĩa di động và đánh cắp các tập tin cụ thể. Điều này cho thấy mục tiêu chính của kẻ đe dọa là hoạt động gián điệp.
Theo nghiên cứu của Kaspersky, kẻ tấn công sử dụng trình cài đặt Skype giả mạo và các tài liệu Word độc hại làm phương tiện tấn công ban đầu. Trình cài đặt Skype giả mạo bao gồm một tệp thực thi có kích thước khoảng 400 MB và chứa Trojan JackalControl cũng như trình cài đặt Skype for Business hợp pháp. Lần sử dụng đầu tiên của công cụ này có từ năm 2020. Một vectơ lây nhiễm khác dựa trên một tài liệu độc hại khai thác lỗ hổng Follina, sử dụng kỹ thuật tạo khuôn mẫu từ xa để tải xuống trang HTML được nhắm mục tiêu.
Tài liệu có tiêu đề “Thư viện các sĩ quan đã nhận được giải thưởng trong nước và nước ngoài.docx” và dường như là một thông tư hợp pháp yêu cầu thông tin về các sĩ quan được chính phủ Pakistan trao tặng. Theo hồ sơ, thông tin về lỗ hổng Follina được chia sẻ lần đầu tiên vào ngày 29 tháng 2022 năm 1 và tài liệu được đề cập đã được sửa đổi vào ngày 2 tháng XNUMX, hai ngày sau khi lỗ hổng này được công bố. Tài liệu này được phát hiện lần đầu tiên vào ngày XNUMX tháng XNUMX. Được định cấu hình để tải một đối tượng bên ngoài từ một trang web hợp pháp, bị xâm nhập, tài liệu này sẽ khởi chạy tệp thực thi có chứa phần mềm độc hại JackalControl Trojan sau khi tải xuống đối tượng bên ngoài.
Cuộc tấn công JackalControl được điều khiển từ xa
Cuộc tấn công JackalControl đóng vai trò là Trojan chính cho phép kẻ tấn công điều khiển từ xa máy mục tiêu. Trong những năm qua, những kẻ tấn công đã phát tán các biến thể khác nhau của phần mềm độc hại này. Trong khi một số biến thể chứa các mã bổ sung để duy trì tính lâu dài của chúng, những biến thể khác được cấu hình để hoạt động mà không lây nhiễm vào hệ thống. Máy thường bị lây nhiễm thông qua các thành phần khác như tập lệnh batch.
Công cụ quan trọng thứ hai được nhóm GoldenJackal sử dụng rộng rãi có tên là JackalSteal. Công cụ này có thể được sử dụng để giám sát các ổ USB di động, chia sẻ từ xa và tất cả các ổ đĩa logic trên hệ thống được nhắm mục tiêu. Phần mềm độc hại có thể chạy như một quy trình hoặc dịch vụ tiêu chuẩn. Tuy nhiên, nó không thể duy trì tính bền vững và do đó cần được tải bởi một thành phần khác.
Cuối cùng, GoldenJackal sử dụng một số công cụ bổ sung như JackalWorm, JackalPerInfo và JackalScreenWatcher. Những công cụ này được sử dụng trong các tình huống cụ thể được các nhà nghiên cứu của Kaspersky chứng kiến. Bộ công cụ này nhằm mục đích kiểm soát máy của nạn nhân, đánh cắp thông tin đăng nhập, chụp ảnh màn hình máy tính để bàn và rõ ràng coi hoạt động gián điệp là mục tiêu cuối cùng.
Giampaolo Dedola, Nhà nghiên cứu bảo mật cấp cao tại Nhóm phân tích và nghiên cứu toàn cầu của Kaspersky (GReAT), cho biết:
“GoldenJackal là một diễn viên APT thú vị, người cố gắng ẩn mình dưới tầm radar. Mặc dù lần đầu tiên bắt đầu hoạt động vào tháng 2019 năm XNUMX nhưng họ đã cố gắng giữ bí mật. Tác nhân này, có bộ công cụ phần mềm độc hại tiên tiến, đã thực hiện rất nhiều cuộc tấn công nhằm vào các tổ chức công cộng và ngoại giao ở Trung Đông và Nam Á. Vì một số hoạt động triển khai phần mềm độc hại vẫn đang được phát triển nên điều quan trọng là các nhóm an ninh mạng phải để mắt đến các cuộc tấn công có thể xảy ra bởi tác nhân này. Chúng tôi hy vọng phân tích của chúng tôi sẽ giúp ngăn chặn các hoạt động của GoldenJackal.”