Kaspersky ha scoperto un nuovo gruppo criminale informatico. Il gruppo, chiamato GoldenJackal, è attivo dal 2019 ma non ha un profilo pubblico e rimane in gran parte un mistero. Secondo le informazioni ottenute dalla ricerca, il gruppo si rivolge principalmente alle istituzioni pubbliche e diplomatiche del Medio Oriente e dell'Asia meridionale.
Kaspersky ha iniziato a monitorare GoldenJakal a metà del 2020. Questo gruppo corrisponde a un attore di minacce esperto e moderatamente occultato e mostra un flusso costante di attività. La caratteristica principale del gruppo è che i loro obiettivi sono dirottare i computer, diffondersi tra i sistemi tramite unità rimovibili e rubare determinati file. Ciò dimostra che gli scopi principali dell'attore della minaccia sono lo spionaggio.
Secondo la ricerca di Kaspersky, l'autore della minaccia utilizza falsi programmi di installazione di Skype e documenti Word dannosi come vettori iniziali per gli attacchi. Il falso programma di installazione di Skype consiste in un file eseguibile di circa 400 MB e contiene il trojan JackalControl e un programma di installazione legittimo di Skype for Business. Il primo utilizzo di questo strumento risale al 2020. Un altro vettore di infezione si basa su un documento dannoso che sfrutta la vulnerabilità di Follina, utilizzando una tecnica di iniezione di modelli in remoto per scaricare una pagina HTML appositamente creata.
Il documento si intitola “Gallery of Officers Who Have Received National and Foreign Awards.docx” e sembra essere una legittima circolare che richiede informazioni sugli ufficiali premiati dal governo pakistano. Le informazioni sulla vulnerabilità di Follina sono state condivise per la prima volta il 29 maggio 2022 e il documento è stato modificato il 1 giugno, due giorni dopo il rilascio della vulnerabilità, secondo i registri. Il documento è stato individuato per la prima volta il 2 giugno. Avvio dell'eseguibile contenente il malware JackalControl Trojan dopo aver scaricato l'oggetto documento esterno configurato per caricare un oggetto esterno da un sito Web legittimo e compromesso.
Attacco JackalControl, controllato a distanza
L'attacco JackalControl funge da trojan principale che consente agli aggressori di controllare in remoto la macchina bersaglio. Nel corso degli anni, gli aggressori hanno distribuito diverse varianti di questo malware. Alcune varianti contengono codici aggiuntivi per mantenere la loro permanenza, mentre altre sono configurate per funzionare senza infettare il sistema. Le macchine vengono spesso infettate tramite altri componenti come gli script batch.
Il secondo strumento importante ampiamente utilizzato dal gruppo GoldenJackal è JackalSteal. Questo strumento può essere utilizzato per monitorare unità USB rimovibili, condivisioni remote e tutte le unità logiche nel sistema di destinazione. Il malware può essere eseguito come processo o servizio standard. Tuttavia, non può mantenere la sua persistenza e quindi deve essere caricato da un altro componente.
Infine, GoldenJackal utilizza una serie di strumenti aggiuntivi come JackalWorm, JackalPerInfo e JackalScreenWatcher. Questi strumenti vengono utilizzati in situazioni specifiche testimoniate dai ricercatori di Kaspersky. Questo toolkit ha lo scopo di controllare le macchine delle vittime, rubare credenziali, acquisire schermate dei desktop e indicare una propensione allo spionaggio come obiettivo finale.
Giampaolo Dedola, Senior Security Researcher presso Kaspersky Global Research and Analysis Team (GReAT), ha dichiarato:
“GoldenJackal è un attore APT interessante che cerca di non farsi vedere con il suo basso profilo. Nonostante le prime operazioni avviate nel giugno 2019, sono riuscite a rimanere nascoste. Con un toolkit malware avanzato, questo attore è stato molto prolifico nei suoi attacchi a organizzazioni pubbliche e diplomatiche in Medio Oriente e nell'Asia meridionale. Poiché alcuni degli incorporamenti di malware sono ancora in fase di sviluppo, è fondamentale che i team di sicurezza informatica tengano d'occhio i possibili attacchi di questo attore. Speriamo che la nostra analisi aiuti a prevenire le attività di GoldenJackal.