Orta Doğu ve Güney Asya’daki hükümet ve diplomatik kuruluşlar, adlı yeni bir gelişmiş kalıcı tehdit aktörünün hedefidir. Altın Çakal.
Rus siber güvenlik şirketi Kaspersky, Sekmeleri tutmak 2020’nin ortalarından beri grubun faaliyetleri hakkında, düşmanı hem yetenekli hem de sinsi olarak nitelendirdi.
Kampanyanın hedefleme kapsamı Afganistan, Azerbaycan, İran, Irak, Pakistan ve Türkiye’ye odaklanıyor ve kurbanlara verileri çalan, çıkarılabilir sürücüler aracılığıyla sistemler arasında yayılan ve gözetleme yapan özel amaçlı kötü amaçlı yazılımlar bulaştırıyor.
Grup hakkında çok az şey bilinmesine rağmen GoldenJackal’ın en az dört yıldır aktif olduğundan şüpheleniliyor. Kaspersky, kökenini veya bilinen tehdit aktörleriyle ilişkisini belirleyemediğini, ancak aktörün işleyiş biçiminin bir casusluk motivasyonu olduğunu öne sürdüğünü söyledi.
Dahası, tehdit aktörünün dikkat çekmeme ve gölgelerde kaybolma girişimleri, devlet destekli bir grubun tüm özelliklerini taşıyor.
Bununla birlikte, tehdit aktörü ile Rusya’nın bir parçası olan Turla arasında bazı taktik örtüşmeler gözlemlendi. elit ulus-devlet bilgisayar korsanlığı ekipleri. Bir durumda, bir kurban makineye iki ay arayla Turla ve GoldenJackal bulaştı.
Hedeflenen bilgisayarları ihlal etmek için kullanılan kesin ilk yol bu aşamada bilinmiyor, ancak şimdiye kadar toplanan kanıtlar, trojenleştirilmiş Skype yükleyicilerinin ve kötü amaçlı Microsoft Word belgelerinin kullanıldığını gösteriyor.
Yükleyici, JackalControl adlı .NET tabanlı bir truva atı iletmek için bir kanal görevi görürken, Word dosyalarının Follina güvenlik açığını silah haline getirdiği gözlemlendi (CVE-2022-30190) aynı kötü amaçlı yazılımı bırakmak için.
JackalControl, adından da anlaşılacağı gibi, saldırganların makineye uzaktan kumanda etmesine, rastgele komutlar yürütmesine ve ayrıca sisteme yükleme ve indirme yapmasına olanak tanır.
 |
| Kurbanların coğrafyası |
GoldenJackal tarafından dağıtılan diğer kötü amaçlı yazılım ailelerinden bazıları şunlardır:
- ÇakalÇalmak – Çıkarılabilir USB sürücülerinde bulunanlar da dahil olmak üzere ilgilenilen dosyaları bulmak ve bunları uzak bir sunucuya iletmek için kullanılan bir implant.
- çakal kurdu – Çıkarılabilir USB sürücüleri kullanarak sistemlere bulaşmak ve JackalControl truva atını yüklemek için tasarlanmış bir solucan.
- JackalPerInfo – Sistem meta verilerini, klasör içeriklerini, yüklü uygulamaları ve çalışan işlemleri ve web tarayıcısı veritabanlarında depolanan kimlik bilgilerini toplama özellikleriyle birlikte gelen bir kötü amaçlı yazılım.
- ÇakalEkranGözcüsü – Önceden ayarlanmış bir zaman aralığına dayalı olarak ekran görüntülerini yakalayan ve bunları aktör tarafından kontrol edilen bir sunucuya gönderen bir yardımcı program.
Tehdit aktörünün bir diğer dikkate değer yönü, web isteklerini web sitelerine enjekte edilen hileli bir PHP dosyası aracılığıyla gerçek komuta ve kontrol (C2) sunucusuna iletmek için bir geçiş aracı olarak saldırıya uğramış WordPress sitelerine güvenmesidir.
Kaspersky araştırmacısı Giampaolo Dedola, “Grup muhtemelen kurban sayısını sınırlayarak görünürlüğünü azaltmaya çalışıyor.” dedi. “Araç takımları geliştirme aşamasında gibi görünüyor – varyantların sayısı, hala ona yatırım yaptıklarını gösteriyor.”