Nakatuklas ng bagong cybercrime group ang Kaspersky. Ang grupo, na tinatawag na GoldenJackal, ay naging aktibo mula noong 2019 ngunit walang pampublikong profile at nananatiling isang misteryo. Ayon sa impormasyong nakuha mula sa pananaliksik, pangunahing pinupuntirya ng grupo ang mga pampubliko at diplomatikong institusyon sa Gitnang Silangan at Timog Asya.
Sinimulan ng Kaspersky na subaybayan ang GoldenJakal noong kalagitnaan ng 2020. Ang pangkat na ito ay tumutugma sa isang mahusay at katamtamang balabal na aktor ng pagbabanta at nagpapakita ng pare-parehong daloy ng aktibidad. Ang pangunahing tampok ng grupo ay ang kanilang mga target ay upang i-hijack ang mga computer, kumalat sa pagitan ng mga system sa pamamagitan ng mga naaalis na drive at magnakaw ng ilang partikular na file. Ipinapakita nito na ang pangunahing layunin ng aktor ng pagbabanta ay paniniktik.
Ayon sa pananaliksik ng Kaspersky, ang aktor ng pagbabanta ay gumagamit ng mga pekeng installer ng Skype at malisyosong mga dokumento ng Word bilang mga paunang vector para sa mga pag-atake. Ang pekeng Skype installer ay binubuo ng isang executable file na humigit-kumulang 400 MB at naglalaman ng JackalControl Trojan at isang lehitimong Skype for Business installer. Ang unang paggamit ng tool na ito ay nagsimula noong 2020. Ang isa pang vector ng impeksyon ay nakabatay sa isang nakakahamak na dokumento na nagsasamantala sa kahinaan ng Follina, gamit ang isang malayuang pamamaraan ng pag-iniksyon ng template upang mag-download ng isang HTML page na ginawa para sa layunin.
Ang dokumento ay pinamagatang "Gallery of Officers Who Have Received National and Foreign Awards.docx" at lumilitaw na isang lehitimong circular na humihiling ng impormasyon tungkol sa mga opisyal na iginawad ng gobyerno ng Pakistan. Ang impormasyon tungkol sa kahinaan ng Follina ay unang ibinahagi noong Mayo 29, 2022, at ang dokumento ay binago noong Hunyo 1, dalawang araw pagkatapos ilabas ang kahinaan, ayon sa mga talaan. Unang nakita ang dokumento noong Hunyo 2. Paglulunsad ng executable na naglalaman ng JackalControl Trojan malware pagkatapos i-download ang external na object ng dokumento na na-configure upang mag-load ng external na object mula sa isang lehitimong at nakompromisong website.
Pag-atake ng JackalControl, malayuang kinokontrol
Ang pag-atake ng JackalControl ay nagsisilbing pangunahing Trojan na nagpapahintulot sa mga umaatake na malayuang kontrolin ang target na makina. Sa paglipas ng mga taon, ang mga umaatake ay namamahagi ng iba't ibang variant ng malware na ito. Ang ilang mga variant ay naglalaman ng mga karagdagang code upang mapanatili ang kanilang pagiging permanente, habang ang iba ay naka-configure upang gumana nang hindi nakakahawa sa system. Ang mga makina ay madalas na nahawahan sa pamamagitan ng iba pang mga bahagi tulad ng mga batch script.
Ang pangalawang mahalagang tool na malawakang ginagamit ng grupong GoldenJackal ay JackalSteal. Maaaring gamitin ang tool na ito para subaybayan ang mga naaalis na USB drive, remote share at lahat ng lohikal na drive sa naka-target na system. Maaaring tumakbo ang malware bilang karaniwang proseso o serbisyo. Gayunpaman, hindi nito mapanatili ang pagtitiyaga nito at samakatuwid ay kailangang i-load ng isa pang bahagi.
Panghuli, gumagamit ang GoldenJackal ng ilang karagdagang tool gaya ng JackalWorm, JackalPerInfo, at JackalScreenWatcher. Ang mga tool na ito ay ginagamit sa mga partikular na sitwasyon na nasaksihan ng mga mananaliksik ng Kaspersky. Ang toolkit na ito ay naglalayong kontrolin ang mga makina ng mga biktima, magnakaw ng mga kredensyal, kumuha ng mga screenshot ng mga desktop, at magpahiwatig ng hilig sa espiya bilang ang pinakapuntirya.
Si Giampaolo Dedola, Senior Security Researcher sa Kaspersky Global Research and Analysis Team (GReAT), ay nagsabi:
"Si GoldenJackal ay isang kawili-wiling aktor ng APT na sinusubukang hindi makita sa kanyang mababang profile. Sa kabila ng unang pagsisimula ng mga operasyon noong Hunyo 2019, nagawa nilang manatiling nakatago. Gamit ang isang advanced na toolkit ng malware, naging napakarami ng aktor na ito sa kanyang mga pag-atake sa mga pampubliko at diplomatikong organisasyon sa Middle East at South Asia. Dahil ang ilan sa mga malware embed ay nasa pagbuo pa rin, napakahalaga para sa mga cybersecurity team na bantayan ang mga posibleng pag-atake ng aktor na ito. Umaasa kami na ang aming pagsusuri ay makakatulong na maiwasan ang mga aktibidad ng GoldenJackal.