Las entidades gubernamentales y diplomáticas en el Medio Oriente y el sur de Asia son el objetivo de un nuevo actor de amenaza persistente avanzado llamado chacal dorado.
La empresa rusa de ciberseguridad Kaspersky, que ha sido llevando cuenta sobre las actividades del grupo desde mediados de 2020, caracterizó al adversario como capaz y sigiloso.
El ámbito de orientación de la campaña se centra en Afganistán, Azerbaiyán, Irán, Irak, Pakistán y Turquía, infectando a las víctimas con malware personalizado que roba datos, se propaga a través de sistemas a través de unidades extraíbles y realiza vigilancia.
Se sospecha que GoldenJackal estuvo activo durante al menos cuatro años, aunque se sabe poco sobre el grupo. Kaspersky dijo que no ha podido determinar su origen o afiliación con actores de amenazas conocidos, pero el modus operandi del actor sugiere una motivación de espionaje.
Además, los intentos del actor de amenazas por mantener un perfil bajo y desaparecer en las sombras tienen todas las características de un grupo patrocinado por el estado.
Dicho esto, se han observado algunas superposiciones tácticas entre el actor de amenazas y Turla, uno de los rusos. equipos de piratería de élite del estado-nación. En una instancia, una máquina víctima fue infectada por Turla y GoldenJackal con dos meses de diferencia.
En esta etapa, se desconoce la ruta inicial exacta empleada para violar las computadoras seleccionadas, pero la evidencia reunida hasta ahora apunta al uso de instaladores troyanos de Skype y documentos maliciosos de Microsoft Word.
Si bien el instalador sirve como conducto para entregar un troyano basado en .NET llamado JackalControl, se ha observado que los archivos de Word activan la vulnerabilidad de Follina (CVE-2022-30190) para colocar el mismo malware.
JackalControl, como su nombre lo indica, permite a los atacantes controlar la máquina de forma remota, ejecutar comandos arbitrarios, así como cargar y descargar desde y hacia el sistema.
Geografía de las víctimas |
Algunas de las otras familias de malware implementadas por GoldenJackal son las siguientes:
- chacalrobar – Un implante que se utiliza para buscar archivos de interés, incluidos los que se encuentran en unidades USB extraíbles, y transmitirlos a un servidor remoto.
- ChacalGusano – Un gusano diseñado para infectar sistemas mediante unidades USB extraíbles e instalar el troyano JackalControl.
- ChacalPerInfo – Un malware que viene con funciones para recopilar metadatos del sistema, contenido de carpetas, aplicaciones instaladas y procesos en ejecución, y credenciales almacenadas en bases de datos de navegadores web.
- ChacalScreenWatcher – Una utilidad para tomar capturas de pantalla basadas en un intervalo de tiempo preestablecido y enviarlas a un servidor controlado por actores.
Otro aspecto notable del actor de amenazas es su dependencia de los sitios de WordPress pirateados como un relé para reenviar solicitudes web al servidor de comando y control (C2) real por medio de un archivo PHP malicioso inyectado en los sitios web.
“El grupo probablemente está tratando de reducir su visibilidad limitando el número de víctimas”, dijo el investigador de Kaspersky, Giampaolo Dedola. “Su conjunto de herramientas parece estar en desarrollo: la cantidad de variantes muestra que todavía están invirtiendo en él”.