Ngày 23 tháng 5 năm 2023Ravie Lakshmanan Đe dọa mạng / APT
Các tổ chức chính phủ và ngoại giao ở Trung Đông và Nam Á là mục tiêu của một tác nhân đe dọa dai dẳng tiên tiến mới có tên chó rừng vàng.
Công ty an ninh mạng Kaspersky của Nga, công ty đã theo dõi các hoạt động của nhóm từ giữa năm 2020, đã mô tả kẻ thù là có khả năng và tàng hình.
Phạm vi nhắm mục tiêu của chiến dịch tập trung vào Afghanistan, Azerbaijan, Iran, Iraq, Pakistan và Thổ Nhĩ Kỳ, lây nhiễm cho nạn nhân bằng phần mềm độc hại phù hợp để đánh cắp dữ liệu, lan truyền trên các hệ thống thông qua ổ đĩa di động và tiến hành giám sát.
GoldenJackal bị nghi ngờ đã hoạt động ít nhất bốn năm, mặc dù có rất ít thông tin về nhóm. Kaspersky cho biết họ không thể xác định nguồn gốc hoặc mối liên hệ của nó với các tác nhân đe dọa đã biết, nhưng phương thức hoạt động của tác nhân cho thấy động cơ gián điệp.
Hơn nữa, những nỗ lực của kẻ đe dọa nhằm duy trì danh tiếng thấp và biến mất trong bóng tối mang tất cả dấu hiệu của một nhóm được nhà nước bảo trợ.
Điều đó nói rằng, một số chồng chéo chiến thuật đã được quan sát thấy giữa tác nhân đe dọa và Turla, một trong những nhóm hack cấp quốc gia ưu tú của Nga. Trong một trường hợp, một cỗ máy nạn nhân đã bị lây nhiễm bởi Turla và GoldenJackal cách nhau hai tháng.
Đường dẫn ban đầu chính xác được sử dụng để vi phạm các máy tính mục tiêu ở giai đoạn này vẫn chưa được biết, nhưng bằng chứng thu thập được cho đến nay chỉ ra việc sử dụng các trình cài đặt Skype bị trojan hóa và các tài liệu Microsoft Word độc hại.
Mặc dù trình cài đặt đóng vai trò là đường dẫn để phân phối một trojan dựa trên .NET có tên là JackalControl, nhưng các tệp Word đã được quan sát thấy vũ khí hóa lỗ hổng Follina (CVE-2022-30190) để loại bỏ phần mềm độc hại tương tự.
JackalControl, như tên gọi, cho phép kẻ tấn công điều khiển máy từ xa, thực thi các lệnh tùy ý, cũng như tải lên và tải xuống từ và tới hệ thống.
Địa lý của nạn nhân
Một số họ phần mềm độc hại khác được GoldenJackal triển khai như sau –
JackalĂn cắp – Một bộ cấy được sử dụng để tìm các tệp quan tâm, bao gồm cả những tệp nằm trong ổ USB di động và truyền chúng đến một máy chủ từ xa.
chó rừngGiun – Một loại sâu được thiết kế để lây nhiễm các hệ thống sử dụng ổ USB di động và cài đặt trojan JackalControl.
JackalPerInfo – Một phần mềm độc hại đi kèm với các tính năng thu thập siêu dữ liệu hệ thống, nội dung thư mục, ứng dụng đã cài đặt và các quy trình đang chạy cũng như thông tin xác thực được lưu trữ trong cơ sở dữ liệu trình duyệt web.
JackalMàn HìnhNgười Quan Sát – Một tiện ích để lấy ảnh chụp màn hình dựa trên khoảng thời gian đặt trước và gửi chúng đến máy chủ do diễn viên kiểm soát.
Một khía cạnh đáng chú ý khác của tác nhân đe dọa là sự phụ thuộc của nó vào các trang web WordPress bị tấn công như một công cụ chuyển tiếp để chuyển tiếp các yêu cầu web đến máy chủ chỉ huy và kiểm soát (C2) thực tế bằng một tệp PHP giả mạo được đưa vào các trang web.
Giampaolo Dedola, nhà nghiên cứu của Kaspersky cho biết: “Nhóm này có thể đang cố gắng giảm khả năng hiển thị của mình bằng cách hạn chế số lượng nạn nhân. “Bộ công cụ của họ dường như đang được phát triển – số lượng biến thể cho thấy họ vẫn đang đầu tư vào nó.”
