En az 2019’dan bu yana Avrupa, Orta Doğu ve Güney Asya’daki hükümet ve diplomatik kurumları hedef alan bir Gelişmiş Kalıcı Tehdit (APT) grubu olan GoldenJackal, hava boşluklu sistemleri başarılı bir şekilde ihlal etmesi nedeniyle güvenlik araştırmacılarının dikkatini çekti. genellikle ulus devlet aktörlerine özgü bir başarı.
Araştırmacılar, grubun bu sistemleri ihlal etmesi sırasında GoldenJackal tarafından kullanılan ayrıntılı operasyonel taktikleri, teknikleri ve prosedürleri (TTP’ler) biliyor.
GoldenJackal Araçları
GoldenJackal’ın operasyonlarının en çarpıcı yönlerinden biri, siber saldırı riskini en aza indirmek için internetten izole edilmiş sistemler olan hava boşluklu ağları tehlikeye atma konusundaki becerileridir. Siber suçlular için hava boşluklu ağlara sızmak son derece zorlu olabilir ve bu görev genellikle yalnızca en gelişmiş APT gruplarına aittir.
ESET araştırmacıları, GoldenJackal’ın bu tür sistemleri kırmak için tasarlanmış iki ayrı araç seti geliştirip başarıyla uyguladığını söylüyor. Belarus’taki Güney Asya büyükelçiliğine düzenlenen saldırıda kullanılan ilk araç seti üç ana bileşenden oluşuyordu: GoldenDealer, GoldenHowl ve GoldenRobo.
- Altın Bayi: GoldenDealer, yürütülebilir dosyaları USB sürücüleri aracılığıyla hava boşluklu sistemlere dağıtabilen kötü amaçlı bir bileşendir. Çıkarılabilir sürücülerin hem hava boşluklu hem de bağlı bilgisayarlara takılmasının yanı sıra internet bağlantısını da izler. GoldenDealer, kötü amaçlı yazılımın çalıştığı dizinde bulunan yapılandırma dosyalarını kullanır. Bu dosyalar durum alanlarını, C&C sunucusu tarafından gönderilen yürütülebilir dosyaları, güvenliği ihlal edilmiş bilgisayarlar hakkındaki bilgileri ve birden fazla örneğin çalışmasını önleyen bir muteksi depolar.
- Altın Uluma: GoldenHowl, GoldenJackal’ın 2019 araç setinden, kötü amaçlı komut dosyalarının yanı sıra yasal Python ikili dosyalarını ve kitaplıklarını içeren, kendi kendine açılan bir arşiv olarak dağıtılan çeşitli işlevlere sahip modüler bir arka kapıdır.
- AltınRobo: GoldenRobo, araç setinin son bileşenidir ve Go’da yazılmıştır. Her sürücüye erişmeye çalışarak A’dan Z’ye tüm sürücü harflerini yineler.
Bir Avrupa Birliği devlet kuruluşuna karşı daha sonraki bir dizi saldırıda GoldenJackal, saldırganların bilgi toplayıp işlemesine, dosyaları ve yapılandırmaları dağıtmasına ve etkilenen sistemlerden dosyaları tamamen sızdırmasına olanak tanıyan ikinci derecede modüler bir araç seti kullandı.
Hava Boşluklu Sistemlerin İhlali
Araştırmacılar, genellikle hava boşluklu sistemlerden ödün vermek için gerekli olan gelişmişlik düzeyi göz önüne alındığında, GoldenJackal’ın beş yıl içinde bu sistemler için yalnızca bir değil iki özel uzlaşma araç seti oluşturma ve dağıtma yeteneğinin emsalsiz olduğunu belirtiyorlar.
Bu, grubun becerikliliğinin yanı sıra, GoldenDealer’ın tehlikeye atılmış internete bağlı sistemleri izlemek, bir komut ve kontrol (C&C) sunucusundan yürütülebilir dosyaları indirmek ve bunları canlı olarak yürütmek için kullanılmasıyla ilgili karmaşık saldırı süreçlerinin tasarımının göstergesi olabilir. -boşluklu makineler.
Bu araç setleri oldukça karmaşık olsa da araştırmacılar bunların kusursuz olmadığını ve savunmacıların taktiklerini gözlemleyerek gelecekteki saldırılara karşı kendilerini daha iyi hazırlayabileceklerini vurguluyor. Araştırmacılar, savunucuların izlemesi için GitHub’da halka açık bir IOC listesi paylaştı.