中东和南亚的政府和外交实体是一个名为GoldenJackal的新的APT组织的目标。
俄罗斯网络安全公司卡巴斯基,自2020年中以来一直在关注该组织的活动,将该对手描述为既有能力又隐秘。
这次活动的目标范围集中在阿富汗,阿塞拜疆,伊朗,伊拉克,巴基斯坦和土耳其,通过定制的恶意软件感染受害者,窃取数据,通过可移动驱动器在系统间传播,并进行监视。
GoldenJackal被怀疑至少活跃了四年,尽管关于该组织的信息鲜有人知。卡巴斯基表示,他们无法确定其起源或与已知APT组织的关联,但行为者的作业方式暗示了间谍动机。
此外,该APT组织试图保持低调并消失在阴影中,这都是国家支持的APT组织的典型特征。
尽管如此,已经观察到APT组织和Turla之间存在一些战术重叠,Turla是俄罗斯的国家级APT团队之一。在一次事件中,受害者机器在两个月内分别被Turla和GoldenJackal感染。
目前这个阶段,用于入侵目标计算机的确切初始路径尚不清楚,但迄今为止收集到的证据指向使用特洛伊化的Skype安装程序和恶意Microsoft Word文档。
虽然安装程序用作传递一个名为JackalControl的基于.NET的特洛伊的通道,但已观察到Word文件利用Follina漏洞(CVE-2022-30190)来丢弃同样的恶意软件。
如其名所示,JackalControl使攻击者能够远程接管机器,执行任意命令,以及上传和下载系统。
GoldenJackal部署的其他恶意软件家族包括:
JackalSteal - 一个用于查找感兴趣的文件的植入物,包括位于可移动USB驱动器中的文件,并将它们传输到远程服务器。
JackalWorm - 一个被设计用于使用可移动USB驱动器感染系统并安装JackalControl特洛伊的蠕虫。
JackalPerInfo - 一个带有收集系统元数据,文件夹内容,已安装应用程序和正在运行的进程以及存储在网络浏览器数据库中的凭证的功能的恶意软件。
JackalScreenWatcher - 一个基于预设时间间隔抓取屏幕截图并将它们发送到行为者控制的服务器的工具。
威胁行为者的另一个显著方面是其依赖于被黑客攻击的WordPress网站作为中继,通过注入到网站中的恶意PHP文件,将网络请求转发到实际的命令和控制(C2)服务器。
卡巴斯基研究员Giampaolo Dedola说:“该组织可能正在试图通过限制受害者数量来降低其曝光度。他们的工具箱似乎正在开发中 - 变体的数量表明他们仍在对其进行投资。”
