Az bilinen bir tehdit aktörü şu şekilde takip edildi: Altın Çakal iki farklı özel araç seti kullanarak hava boşluklu sistemlere sızmak amacıyla elçilikleri ve devlet kuruluşlarını hedef alan bir dizi siber saldırıyla ilişkilendirildi.
Slovak siber güvenlik şirketi ESET, kurbanlar arasında Belarus’taki bir Güney Asya büyükelçiliği ve bir Avrupa Birliği hükümeti (AB) kuruluşunun da bulunduğunu söyledi.
Güvenlik araştırmacısı Matías Porolli kapsamlı bir analizde, “GoldenJackal’ın nihai hedefi, özellikle internete bağlı olmayan yüksek profilli makinelerden gizli bilgileri çalmak gibi görünüyor” dedi.
GoldenJackal ilk olarak Mayıs 2023’te Rus güvenlik sağlayıcısı Kaspersky’nin, tehdit kümesinin Orta Doğu ve Güney Asya’daki hükümete ve diplomatik kuruluşlara yönelik saldırılarını ayrıntılarıyla anlatmasıyla gün yüzüne çıktı. Düşmanın kökenleri en az 2019 yılına kadar uzanıyor.
İzinsiz girişlerin önemli bir özelliği, bağlı USB sürücülerine bulaşabilen ve JackalControl adlı bir truva atı gönderebilen JackalWorm adlı bir solucanın kullanılmasıdır.
Faaliyetleri kesin olarak belirli bir ulus devlet tehdidine bağlamak için yeterli bilgi olmasa da, Turla ve MoustachedBouncer ile bağlantılı kampanyalarda kullanılan kötü amaçlı araçlarla ilgili bazı taktiksel örtüşmeler var; bunlardan ikincisi Belarus’taki yabancı elçilikleri de hedef aldı.
ESET, Ağustos ve Eylül 2019’da ve yine Temmuz 2021’de Belarus’taki Güney Asya büyükelçiliğinde GoldenJackal eserlerini keşfettiğini söyledi. Özellikle ilgi çekici olan, tehdit aktörünün Mayıs 2022 ile Mart 2024 arasında AB’ye karşı tamamen yenilenmiş bir araç setini nasıl konuşlandırmayı başardığıdır. hükümet kuruluşu.
Porolli, “Gereken karmaşıklık düzeyi göz önüne alındığında, GoldenJackal’ın beş yıl içinde hava boşluklu sistemleri tehlikeye atmak için tasarlanmış bir değil iki ayrı araç seti oluşturup yerleştirmeyi başarması oldukça sıra dışı bir durum” dedi. “Bu, grubun becerikliliğini gösteriyor.”
Belarus’taki Güney Asya büyükelçiliğine düzenlenen saldırıda JackalControl, JackalSteal ve JackalWorm’un yanı sıra üç farklı kötü amaçlı yazılım ailesinden faydalanıldığı söyleniyor.
- Altın Bayiyürütülebilir dosyaları, güvenliği ihlal edilmiş USB sürücüleri aracılığıyla hava boşluklu sisteme iletmek için kullanılır
- Altın Ulumadosyaları çalma, zamanlanmış görevler oluşturma, uzak bir sunucuya/sunucuya dosya yükleme/indirme ve bir SSH tüneli oluşturma yeteneklerine sahip modüler bir arka kapı ve
- AltınRobobir dosya toplayıcı ve veri sızdırma aracı
Avrupa’daki isimsiz hükümet kuruluşunu hedef alan saldırıların ise çoğunlukla Go’da yazılmış tamamen yeni bir dizi kötü amaçlı yazılım aracına dayandığı ortaya çıktı. USB sürücülerden dosya toplamak, USB sürücüler aracılığıyla kötü amaçlı yazılım yaymak, verileri sızdırmak ve bazı makine sunucularını, yükleri diğer ana bilgisayarlara dağıtmak için hazırlama sunucuları olarak kullanmak üzere tasarlanmıştır.
- AltınUsbKopya ve onun geliştirilmiş halefi AltınUsbGoUSB sürücülerini izleyen ve dosyaları dışarı sızmak üzere kopyalayan
- AltınAceJackalWorm’un hafif bir sürümü de dahil olmak üzere kötü amaçlı yazılımları USB sürücüleri kullanarak diğer sistemlere (mutlaka hava boşluklu olanlara değil) yaymak için kullanılır
- AltınKara Liste ve Python uygulaması GoldenPyKara Listesidaha sonra dışarı sızmak üzere ilgilenilen e-posta iletilerini işlemek üzere tasarlanmıştır
- Altın Postacıçalınan bilgileri saldırganlara e-posta yoluyla gönderen
- GoldenDriveÇalınan bilgileri Google Drive’a yükleyen
GoldenJackal’ın hedef ortamları ihlal etmek için ilk uzlaşmayı nasıl elde ettiği şu anda bilinmiyor. Ancak Kaspersky daha önce giriş noktası olarak Skype yükleyicilerinin ve kötü amaçlı Microsoft Word belgelerinin truva atı olabileceğinden bahsetmişti.
Halihazırda internete bağlı bir bilgisayarda bulunan ve henüz belirlenemeyen bir mekanizma aracılığıyla dağıtılan GoldenDealer, USB sürücü takıldığında devreye girerek kendisinin ve bilinmeyen bir solucan bileşeninin çıkarılabilir cihaza kopyalanmasına neden oluyor.
Virüs bulaşmış USB sürücüsü hava boşluklu sisteme bağlandığında bilinmeyen bileşenin çalıştırıldığından ve bunun ardından GoldenDealer’ın makine hakkındaki bilgileri USB sürücüsüne kaydettiğinden şüpheleniliyor.
USB cihazı yukarıda bahsedilen internete bağlı makineye ikinci kez takıldığında, GoldenDealer sürücüde depolanan bilgileri harici bir sunucuya aktarır ve bu sunucu daha sonra hava boşluklu sistemde çalıştırılacak uygun yüklerle yanıt verir.
Kötü amaçlı yazılım ayrıca indirilen yürütülebilir dosyaların USB sürücüsüne kopyalanmasından da sorumludur. Son aşamada cihaz hava boşluklu makineye tekrar bağlandığında GoldenDealer kopyalanan yürütülebilir dosyaları alır ve çalıştırır.
GoldenRobo da internete bağlı bilgisayarda çalıştırılıyor ve dosyaları USB sürücüsünden alıp saldırganın kontrolündeki sunucuya iletecek donanıma sahip. Go’da yazılan kötü amaçlı yazılım, adını dosyaları kopyalamak için robocopy adı verilen meşru bir Windows yardımcı programının kullanılmasından alıyor.
ESET, dosyaları hava boşluklu bilgisayardan USB sürücüsünün kendisine kopyalamakla ilgilenen ayrı bir modülü henüz ortaya çıkarmadığını söyledi.
Porolli, “Yalnızca beş yıl içinde hava boşluklu ağları ihlal etmek için iki ayrı araç seti konuşlandırmayı başarmak, GoldenJackal’ın hedefleri tarafından kullanılan ağ bölümlendirmesinin farkında olan gelişmiş bir tehdit aktörü olduğunu gösteriyor” dedi.