Kaspersky malkovris novan ciberkriman grupon. La grupo, nomita GoldenJackal, estas aktiva ekde 2019 sed ne havas publikan profilon kaj restas plejparte mistero. Laŭ la informoj akiritaj de la esplorado, la grupo celas ĉefe publikajn kaj diplomatiajn instituciojn en Mezoriento kaj Suda Azio.
Kaspersky komencis monitori GoldenJakal meze de 2020. Ĉi tiu grupo respondas al sperta kaj modere kovrita minacaktoro kaj elmontras konsekvencan fluon de agado. La ĉefa trajto de la grupo estas, ke iliaj celoj estas kaperi komputilojn, disvastigi inter sistemoj per forpreneblaj diskoj kaj ŝteli iujn dosierojn. Ĉi tio montras, ke la ĉefaj celoj de la minacaktoro estas spionado.
Laŭ la esplorado de Kaspersky, la minacaktoro uzas falsajn Skype-instalilojn kaj malicajn Vortajn dokumentojn kiel komencajn vektorojn por atakoj. La falsa Skype-instalilo konsistas el rulebla dosiero de proksimume 400 MB kaj enhavas la JackalControl Trojan kaj legitiman Skype for Business-instalilon. La unua uzo de ĉi tiu ilo datiĝas de 2020. Alia infekta vektoro baziĝas sur malica dokumento, kiu ekspluatas la vundeblecon Follina, uzante foran ŝablonon injektoteknikon por elŝuti speciale konstruitan HTML-paĝon.
La dokumento estas titolita "Gallery of Officers Who Have Received National and Foreign Awards.docx" kaj ŝajnas esti legitima cirkulero petante informojn pri oficiroj premiitaj de la pakistana registaro. Informoj pri la vundebleco de Follina unue estis dividitaj la 29-an de majo 2022, kaj la dokumento estis ŝanĝita la 1-an de junio, du tagojn post la liberigo de la vundebleco, laŭ la registroj. La dokumento unue estis ekvidita la 2-an de junio. Lanĉante la ruleblan enhavantan la trojan malware JackalControl post elŝuto de la ekstera dokumentobjekto agordita por ŝarĝi eksteran objekton de legitima kaj kompromitita retejo.
JackalControl-atako, malproksime regata
La JackalControl-atako funkcias kiel la ĉefa trojano, kiu permesas al atakantoj malproksime kontroli la celmaŝinon. Tra la jaroj, atakantoj distribuis malsamajn variantojn de ĉi tiu malware. Iuj variantoj enhavas kromajn kodojn por konservi sian konstantecon, dum aliaj estas agorditaj por funkcii sen infekti la sistemon. Maŝinoj ofte estas infektitaj per aliaj komponantoj kiel bataj skriptoj.
La dua grava ilo vaste uzata de la grupo GoldenJackal estas JackalSteal. Ĉi tiu ilo povas esti uzata por monitori forpreneblajn USB-diskojn, forajn akciojn kaj ĉiujn logikajn diskojn sur la celita sistemo. La malware povas funkcii kiel norma procezo aŭ servo. Tamen, ĝi ne povas konservi sian persiston kaj tial devas esti ŝarĝita de alia komponanto.
Fine, GoldenJackal uzas kelkajn pliajn ilojn kiel ekzemple JackalWorm, JackalPerInfo kaj JackalScreenWatcher. Ĉi tiuj iloj estas uzataj en specifaj situacioj atestitaj de esploristoj de Kaspersky. Ĉi tiu ilaro celas kontroli maŝinojn de viktimoj, ŝteli akreditaĵojn, preni ekrankopiojn de labortabloj kaj indiki emon al spionado kiel la finfinan celon.
Giampaolo Dedola, Ĉefa Sekureca Esploristo ĉe Kaspersky Global Research and Analysis Team (GReAT), diris:
"GoldenJackal estas interesa APT-aktoro provanta resti for de vido kun sia malalta profilo. Malgraŭ la unua komenco de operacioj en junio 2019, ili sukcesis resti kaŝitaj. Kun altnivela malware ilaro, ĉi tiu aktoro estis tre fekunda en siaj atakoj kontraŭ publikaj kaj diplomatiaj organizoj en Mezoriento kaj Suda Azio. Ĉar iuj el la malware enkonstruitaj estas ankoraŭ evoluantaj, estas grave ke cibersekurecaj teamoj atentu eblajn atakojn de ĉi tiu aktoro. Ni esperas, ke nia analizo helpos malhelpi la agadojn de GoldenJackal.”