Orta Doğu ve Güney Asya Hükümetlerini Hedef Alan Yeni Tehdit Grubu


23 Mayıs 2023Ravie LakshmananSiber Tehdit / APT

GoldenJackal Tehdit Grubu

Orta Doğu ve Güney Asya’daki hükümet ve diplomatik kuruluşlar, adlı yeni bir gelişmiş kalıcı tehdit aktörünün hedefidir. Altın Çakal.

2020’nin ortalarından beri grubun faaliyetlerini takip eden Rus siber güvenlik firması Kaspersky, düşmanı hem yetenekli hem de sinsi olarak nitelendirdi.

Kampanyanın hedefleme kapsamı Afganistan, Azerbaycan, İran, Irak, Pakistan ve Türkiye’ye odaklanıyor ve kurbanlara verileri çalan, çıkarılabilir sürücüler aracılığıyla sistemler arasında yayılan ve gözetleme yapan özel amaçlı kötü amaçlı yazılımlar bulaştırıyor.

Grup hakkında çok az şey bilinmesine rağmen GoldenJackal’ın en az dört yıldır aktif olduğundan şüpheleniliyor. Kaspersky, kökenini veya bilinen tehdit aktörleriyle ilişkisini belirleyemediğini, ancak aktörün işleyiş biçiminin bir casusluk motivasyonu olduğunu öne sürdüğünü söyledi.

Dahası, tehdit aktörünün dikkat çekmeme ve gölgelerde kaybolma girişimleri, devlet destekli bir grubun tüm özelliklerini taşıyor.

Bununla birlikte, tehdit aktörü ile Rusya’nın seçkin ulus-devlet bilgisayar korsanlığı ekiplerinden biri olan Turla arasında bazı taktik örtüşmeler gözlemlendi. Bir durumda, bir kurban makineye iki ay arayla Turla ve GoldenJackal bulaştı.

Hedeflenen bilgisayarları ihlal etmek için kullanılan kesin ilk yol bu aşamada bilinmiyor, ancak şimdiye kadar toplanan kanıtlar, trojenleştirilmiş Skype yükleyicilerinin ve kötü amaçlı Microsoft Word belgelerinin kullanıldığını gösteriyor.

Yükleyici, JackalControl adlı .NET tabanlı bir truva atı iletmek için bir kanal görevi görürken, Word dosyalarının aynı kötü amaçlı yazılımı bırakmak için Follina güvenlik açığını (CVE-2022-30190) silah haline getirdiği gözlemlendi.

JackalControl, adından da anlaşılacağı gibi, saldırganların makineye uzaktan kumanda etmesine, rastgele komutlar yürütmesine ve ayrıca sisteme yükleme ve indirme yapmasına olanak tanır.

Kurbanların coğrafyası
Kurbanların coğrafyası

GoldenJackal tarafından dağıtılan diğer kötü amaçlı yazılım ailelerinden bazıları şunlardır:

  • ÇakalÇalmak – Çıkarılabilir USB sürücülerinde bulunanlar da dahil olmak üzere ilgilenilen dosyaları bulmak ve bunları uzak bir sunucuya iletmek için kullanılan bir implant.
  • çakal kurdu – Çıkarılabilir USB sürücüleri kullanarak sistemlere bulaşmak ve JackalControl truva atını yüklemek için tasarlanmış bir solucan.
  • JackalPerInfo – Sistem meta verilerini, klasör içeriklerini, yüklü uygulamaları ve çalışan işlemleri ve web tarayıcısı veritabanlarında depolanan kimlik bilgilerini toplama özellikleriyle birlikte gelen bir kötü amaçlı yazılım.
  • ÇakalEkranGözcüsü – Önceden ayarlanmış bir zaman aralığına dayalı olarak ekran görüntülerini yakalayan ve bunları aktör tarafından kontrol edilen bir sunucuya gönderen bir yardımcı program.

Tehdit aktörünün bir diğer dikkate değer yönü, web isteklerini web sitelerine enjekte edilen hileli bir PHP dosyası aracılığıyla gerçek komuta ve kontrol (C2) sunucusuna iletmek için bir geçiş aracı olarak saldırıya uğramış WordPress sitelerine güvenmesidir.

Kaspersky araştırmacısı Giampaolo Dedola, “Grup muhtemelen kurban sayısını sınırlayarak görünürlüğünü azaltmaya çalışıyor.” dedi. “Araç takımları geliştirme aşamasında gibi görünüyor – varyantların sayısı, hala ona yatırım yaptıklarını gösteriyor.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin twitter ve yayınladığımız daha özel içeriği okumak için LinkedIn.





Source link