GoldenJackal, Hava Boşluklu Sistemlere Saldırmak İçin Özel Araç Setini Kullanıyor


GoldenJackal, Hava Boşluklu Sistemlere Saldırmak İçin Özel Araç Setini Kullanıyor

Hava boşluklu sistemler, ‘bilgisayarları’ ve ‘ağları’ dış bağlantılardan (“internet” gibi) izole ederek ‘yetkisiz erişimi’ ve ‘siber tehditleri’ engelleyen güvenlik önlemleridir. ⁤

⁤Bu izolasyon, “fiziksel bağlantı kesme” veya ağ trafiğini kısıtlayan “mantıksal yapılandırmalar” yoluyla yapılabilir.

DÖRT

ESET araştırmacıları kısa süre önce APT grubu “GoldenJackal”ın ⁤Hava boşluklu sistemlere saldırmak için aktif olarak özel araçlar kullandığını ortaya çıkardı.

GoldenJackal Hava Boşluklu Sistemler Kullanıyor

GoldenJackal APT grubunun ‘Mayıs 2022’den ‘Mart 2024’e kadar bir ‘Avrupa devlet kuruluşunu’ hedef aldığı belirlendi.

Bu kampanya, “diplomatik kuruluşlara” yönelik 2019 yılına dayanan daha önceki saldırılara dayanıyordu. GoldenJackal, genellikle yüksek derecede “hassas veriler” için kullanılan izole ağlar olan “hava boşluklu sistemlerin ihlali” konusunda uzmanlaşmıştır.

Grup, “GoldenDealer”, “GoldenHowl” ve “GoldenRobo” gibi kötü amaçlı yazılımları içeren gelişmiş bir araç seti kullanıyor.

Yukarıda bahsedilen tüm bu kötü amaçlı yazılımlar “C#”, “Python” ve “Go” gibi çeşitli programlama dillerinde yazılmış olsa da.

Bu araçlar “USB sürücü izlemeyi”, “dosya sızdırmayı” ve “Kontrol ve Kontrol iletişimini” kolaylaştırır.

Hava boşluklu bir sistemin ilk uzlaşması (Kaynak – WeLiveSecurity)

GoldenJackal’ın cephaneliği, USB sürücüleri aracılığıyla ‘arka kapı erişimi’, ‘veri hırsızlığı’ ve ‘kötü amaçlı yazılım yayılımı’ için aşağıdaki bileşenleri içerdiğinden, zaman içinde önemli ölçüde gelişmiştir: –

  • ÇakalKontrol
  • ÇakalÇalmak
  • Çakal Solucanı

Modüler bir yaklaşıma sahip en son araç seti 2022’de gözlemlendi.

ESET, en son araç setinin, dosyaları sızdırma amacıyla toplamak ve yönlendirmek için şifreleme (‘AES,’ ‘RSA’) ve sıkıştırma (‘gzip’) tekniklerini kullanan “GoldenUsbCopy” ve “GoldenUsbGo”yu sunduğunu söyledi.

Grubun, hava boşluklu ağları tehlikeye atmak için birden fazla araç seti geliştirmedeki ısrarı ve yeteneği, onun önemli kaynaklarını ve “Avrupa”, “Orta Doğu” ve “Güney” genelindeki “hükümet” ve “diplomatik sektörler”deki yüksek değerli hedeflere yönelik stratejik odağını göstermektedir. Asya.”

HTTP Sunucusu ve GoldenAce, GoldenJackal APT grubunun araç kitinin, “USB sürücüler” yoluyla kötü amaçlı yazılım yayılımı için bir “dağıtım aracı” işlevi gören bileşenleridir.

GoldenJackal’ın en yeni araç setindeki bileşenler (Kaynak – WeLiveSecurity)

Eşlenen birimleri arayarak “G:” ile “Z:” arasındaki sürücüleri sistematik olarak kontrol eder. Uygun bir sürücü bulduğunda gizli bir “çöp kutusu” dizini oluşturur ve ona “update” adlı bir dosyayı kopyalar.

GoldenAce daha sonra ilk “gizli olmayan dizini” alfabetik olarak gizler ve yeniden adlandırılmış bir “yükseltme” dosyasını (aslında “JackalWorm’un hafif bir sürümü”) sürücünün köküne yerleştirir.

Bu JackalWorm çeşidi, daha karmaşık benzerlerinden farklı olarak, “güncelleme” dosyasını USB’nin takılı olduğu diğer sistemlere kopyalamak ve yürütmek için bir toplu iş dosyası (“update.bat”) kullanarak kendisini çalıştırmak ve ardından silmek gibi sınırlı işlevselliğe sahiptir.

GoldenAce açık bir şekilde hava boşluklu sistemler için tasarlanmamıştır ancak bu tür ağları ihlal edebilir.

“GoldenBlacklist” (‘e-posta arşivlerini işleyen’), “GoldenPyBlacklist” (‘.msg dosyaları için bir Python uygulaması’), “GoldenMailer” (‘SMTP kullanarak e-posta tabanlı sızma için’) ve “ GoldenDrive” (“Google Drive yüklemeleri için”).

Tüm bu araçlar toplu olarak grubun yalıtılmış ağları hedeflemesine olanak tanıyor ve bu da GoldenJackal’ın “siber casusluk” konusundaki gelişmiş yaklaşımını gösteriyor.

Strategies to Protect Websites & APIs from Malware Attack => Free Webinar



Source link