GoldenJackal richt zich op ambassades en air-gapped-systemen met behulp van malware-toolsets

Een weinig bekende bedreigingsacteur opgespoord als Gouden Jakhals is in verband gebracht met een reeks cyberaanvallen gericht op ambassades en overheidsorganisaties met als doel lucht-gapped systemen te infiltreren met behulp van twee uiteenlopende, op maat gemaakte toolsets.

Slachtoffers waren onder meer een Zuid-Aziatische ambassade in Wit-Rusland en een overheidsorganisatie van de Europese Unie (EU), aldus het Slowaakse cyberbeveiligingsbedrijf ESET.

“Het uiteindelijke doel van GoldenJackal lijkt het stelen van vertrouwelijke informatie, vooral van spraakmakende machines die mogelijk niet met internet zijn verbonden”, merkte beveiligingsonderzoeker Matías Porolli op in een uitgebreide analyse.

GoldenJackal kwam voor het eerst aan het licht in mei 2023, toen de Russische beveiligingsleverancier Kaspersky de aanvallen van het dreigingscluster op regerings- en diplomatieke entiteiten in het Midden-Oosten en Zuid-Azië uiteenzette. De oorsprong van de tegenstander gaat minstens terug tot 2019.

Een belangrijk kenmerk van de inbraken is het gebruik van een worm genaamd JackalWorm die in staat is aangesloten USB-drives te infecteren en een trojan af te leveren genaamd JackalControl.

Hoewel er onvoldoende informatie is om de activiteiten definitief te koppelen aan een specifieke natiestaatdreiging, is er enige tactische overlap met kwaadaardige instrumenten die worden gebruikt in campagnes die verband houden met Turla en MoustachedBouncer, waarvan de laatste ook buitenlandse ambassades in Wit-Rusland heeft uitgekozen.

ESET zegt dat het in augustus en september 2019, en opnieuw in juli 2021, GoldenJackal-artefacten heeft ontdekt bij een Zuid-Aziatische ambassade in Wit-Rusland. Van bijzonder belang is hoe de dreigingsactoren er tussen mei 2022 en maart 2024 ook in slaagde een volledig vernieuwde toolset in te zetten tegen een EU-lidstaat. overheidsinstantie.

Systemen met luchtopening

“Met het vereiste niveau van verfijning is het vrij ongebruikelijk dat GoldenJackal er in vijf jaar tijd in is geslaagd om niet één, maar twee afzonderlijke toolsets te bouwen en in te zetten, ontworpen om systemen met luchtopeningen in gevaar te brengen,” merkte Porolli op. “Dit spreekt over de vindingrijkheid van de groep.”

Bij de aanval op de Zuid-Aziatische ambassade in Wit-Rusland zou naast JackalControl, JackalSteal en JackalWorm gebruik zijn gemaakt van drie verschillende malwarefamilies:

  • GoudenDealerdat wordt gebruikt om uitvoerbare bestanden via gecompromitteerde USB-drives aan het air-gapped systeem te leveren
  • Gouden Howleen modulaire achterdeur met mogelijkheden om bestanden te stelen, geplande taken te maken, bestanden te uploaden/downloaden van en naar een externe server, en een SSH-tunnel te creëren, en
  • GoudenRoboeen tool voor het verzamelen van bestanden en het exfiltreren van gegevens
Systemen met luchtopening

De aanvallen gericht op de niet bij naam genoemde overheidsorganisatie in Europa blijken daarentegen te berusten op een geheel nieuwe reeks malwaretools die grotendeels in Go zijn geschreven. Ze zijn ontworpen om bestanden van USB-drives te verzamelen, malware te verspreiden via USB-drives, gegevens te exfiltreren en sommige machineservers te gebruiken als staging-servers om payloads naar andere hosts te distribueren –

  • Gouden USB-kopie en zijn verbeterde opvolger GoudenUsbGodie USB-drives monitoren en bestanden kopiëren voor exfiltratie
  • GoudenAcedat wordt gebruikt om de malware, inclusief een lichtgewicht versie van JackalWorm, te verspreiden naar andere systemen (niet noodzakelijkerwijs die met air-gapped) met behulp van USB-drives
  • Gouden Zwarte lijst en de Python-implementatie ervan GoldenPyZwarte lijstdie zijn ontworpen om interessante e-mailberichten te verwerken voor daaropvolgende exfiltratie
  • GoudenMailerdie de gestolen informatie via e-mail naar aanvallers verzendt
  • Gouden Drivewaarmee gestolen informatie naar Google Drive wordt geüpload

Het is momenteel niet bekend hoe GoldenJackal erin slaagt een aanvankelijk compromis te sluiten om doelomgevingen te doorbreken. Kaspersky zinspeelde echter eerder op de mogelijkheid dat Skype-installatieprogramma’s met een trojan en kwaadaardige Microsoft Word-documenten als toegangspunten kunnen dienen.

GoldenDealer, dat al aanwezig is op een computer die met internet is verbonden en wordt geleverd via een nog onbekend mechanisme, komt in actie wanneer een USB-stick wordt geplaatst, waardoor hijzelf en een onbekend wormonderdeel naar het verwijderbare apparaat worden gekopieerd.

Er wordt vermoed dat het onbekende onderdeel wordt uitgevoerd wanneer de geïnfecteerde USB-drive wordt aangesloten op het air-gapped systeem, waarna GoldenDealer informatie over de machine opslaat op de USB-drive.

Wanneer het USB-apparaat voor de tweede keer in de eerder genoemde, met internet verbonden machine wordt gestoken, geeft GoldenDealer de informatie die op de schijf is opgeslagen door aan een externe server, die vervolgens reageert met de juiste payloads die op het air-gapped systeem kunnen worden uitgevoerd.

De malware is ook verantwoordelijk voor het kopiëren van de gedownloade uitvoerbare bestanden naar het USB-station. In de laatste fase, wanneer het apparaat opnieuw met de air-gapped machine wordt verbonden, neemt GoldenDealer de gekopieerde uitvoerbare bestanden en voert deze uit.

GoldenRobo wordt op zijn beurt ook uitgevoerd op de pc met internetverbinding en is uitgerust om de bestanden van de USB-drive te halen en deze naar de door de aanvaller bestuurde server te verzenden. De malware, geschreven in Go, dankt zijn naam aan het gebruik van een legitiem Windows-hulpprogramma genaamd robocopy om de bestanden te kopiëren.

ESET zei dat het nog geen aparte module heeft gevonden die zorgt voor het kopiëren van de bestanden van de computer met luchtopening naar de USB-drive zelf.

“Het feit dat GoldenJackal er in slechts vijf jaar in is geslaagd om twee afzonderlijke toolsets in te zetten voor het doorbreken van air-gapped netwerken, toont aan dat GoldenJackal een geavanceerde dreigingsacteur is die zich bewust is van de netwerksegmentatie die door zijn doelen wordt gebruikt”, aldus Porolli.

Thijs Van der Does