Kaspersky ha descobert un nou grup de cibercrim. El grup, anomenat GoldenJackal, està actiu des del 2019, però no té perfil públic i segueix sent en gran part un misteri. Segons la informació obtinguda de la investigació, el grup s'adreça principalment a institucions públiques i diplomàtiques de l'Orient Mitjà i el Sud d'Àsia.
Kaspersky va començar a supervisar GoldenJakal a mitjans del 2020. Aquest grup correspon a un actor d'amenaces hàbil i moderadament encobert i presenta un flux d'activitat constant. La característica principal del grup és que els seus objectius són segrestar ordinadors, repartir-los entre sistemes mitjançant unitats extraïbles i robar determinats fitxers. Això demostra que els propòsits principals de l'actor d'amenaça són l'espionatge.
Segons la investigació de Kaspersky, l'actor d'amenaces utilitza instal·ladors de Skype falsos i documents de Word maliciosos com a vectors inicials per als atacs. L'instal·lador de Skype fals consta d'un fitxer executable d'aproximadament 400 MB i conté el troià JackalControl i un instal·lador legítim de Skype for Business. El primer ús d'aquesta eina es remunta al 2020. Un altre vector d'infecció es basa en un document maliciós que explota la vulnerabilitat Follina, utilitzant una tècnica d'injecció de plantilles remota per descarregar una pàgina HTML creada específicament.
El document es titula "Galeria d'oficials que han rebut premis nacionals i estrangers.docx" i sembla ser una circular legítima que sol·licita informació sobre els oficials atorgats pel govern pakistanès. La informació sobre la vulnerabilitat de Follina es va compartir per primera vegada el 29 de maig de 2022 i el document es va canviar l'1 de juny, dos dies després de l'alliberament de la vulnerabilitat, segons els registres. El document es va veure per primera vegada el 2 de juny. Llançament de l'executable que conté el malware JackalControl troià després de descarregar l'objecte de document extern configurat per carregar un objecte extern des d'un lloc web legítim i compromès.
Atac JackalControl, controlat a distància
L'atac JackalControl serveix com a troià principal que permet als atacants controlar de forma remota la màquina objectiu. Al llarg dels anys, els atacants han anat distribuint diferents variants d'aquest programari maliciós. Algunes variants contenen codis addicionals per mantenir la seva permanència, mentre que altres estan configurades per funcionar sense infectar el sistema. Les màquines sovint s'infecten a través d'altres components, com ara scripts per lots.
La segona eina important àmpliament utilitzada pel grup GoldenJackal és JackalSteal. Aquesta eina es pot utilitzar per supervisar unitats USB extraïbles, recursos compartits remots i totes les unitats lògiques del sistema de destinació. El programari maliciós es pot executar com un procés o servei estàndard. Tanmateix, no pot mantenir la seva persistència i, per tant, ha de ser carregat per un altre component.
Finalment, GoldenJackal utilitza una sèrie d'eines addicionals com JackalWorm, JackalPerInfo i JackalScreenWatcher. Aquestes eines s'utilitzen en situacions específiques presenciades pels investigadors de Kaspersky. Aquest conjunt d'eines té com a objectiu controlar les màquines de les víctimes, robar credencials, fer captures de pantalla dels escriptoris i indicar una propensió a l'espionatge com a objectiu final.
Giampaolo Dedola, investigador sènior de seguretat de Kaspersky Global Research and Analysis Team (GReAT), va dir:
"GoldenJackal és un actor APT interessant que intenta mantenir-se fora de la vista amb el seu perfil baix. Tot i que van començar les primeres operacions el juny de 2019, han aconseguit mantenir-se ocults. Amb un conjunt d'eines de programari maliciós avançat, aquest actor ha estat molt prolífic en els seus atacs contra organitzacions públiques i diplomàtiques a l'Orient Mitjà i el Sud d'Àsia. Com que algunes de les incrustacions de programari maliciós encara estan en desenvolupament, és crucial que els equips de ciberseguretat estiguin atents als possibles atacs d'aquest actor. Esperem que la nostra anàlisi ajudi a prevenir les activitats de GoldenJackal".