'Goldenjackal' adlı nispeten bilinmeyen gelişmiş kalıcı tehdit (APT) grubu, casusluk için 2019'dan bu yana Asya'daki hükümeti ve diplomatik varlıkları hedefliyor.
Tehdit aktörleri, kurbanlarını dikkatlice seçerek ve maruz kalma olasılığını azaltmak için saldırı sayısını minimumda tutmak için gizli olma için düşük bir profil sürdürdüler.
Kaspersky 2020'den beri Goldenjackal'ı izliyor ve bugün tehdit aktörlerinin Afganistan, Azerbaycan, İran, Irak, Pakistan ve Türkiye'de kayda değer bir faaliyete sahip olduklarını bildiriyor.
Kaspersky, "Goldenjackal, 2019'dan beri aktif olan ve genellikle Orta Doğu ve Güney Asya'daki hükümet ve diplomatik varlıkları hedefleyen uygun bir gruptur."
Diyerek şöyle devam etti: "Yıllar önce faaliyetlerine başladıklarına rağmen, bu grup genellikle bilinmiyor ve bildiğimiz kadarıyla kamuya açıklanmadı."
APT'nin enfeksiyon vektörleri bilinmemektedir. Bununla birlikte, araştırmacılar, Microsoft Office Follina güvenlik açığından yararlanmak için uzak şablon enjeksiyon tekniğini kullanan kötü niyetli belgelerle kimlik avı operasyonları belirtileri gözlemlediler.
Buna ek olarak, Kaspersky, yazılımın meşru bir kopyasına bir truva atı bırakan bir truva atı 'iş için' yükleyicileri vakası gördü.
Kaspersky'nin analistleri Turla ile kod ve TTP (teknikler, taktikler ve prosedürler) benzerliklerini fark ederken, Goldenjackal'ı ayrı bir etkinlik kümesi olarak izliyorlar.
Kaspersky'ye göre, GoldenJackal, kimlik bilgisi damping, veri çalma, kötü amaçlı yazılım yükleme, yanal hareket, dosya eksfiltrasyonu ve daha fazlası dahil olmak üzere çeşitli işlevler sağlayan bir dizi özel .NET kötü amaçlı yazılım aracı kullanır.
İlk olarak bir sistemi enfekte etmek için kullanılan birincil yük, saldırganlara enfekte bilgisayar üzerinde uzaktan kumanda sağlayan 'JackalControl'dur.
Kötü amaçlı yazılım bir program veya Windows hizmeti olarak çalıştırılabilir ve kayıt defteri anahtarları, Windows planlanan görevler veya Windows hizmetleri ekleyerek kalıcılık oluşturabilir.
Rasgele programların yürütülmesini, dosyaların eklenmesini veya C2'den ek yükler getirilmesini içeren HTTP Post istekleri aracılığıyla C2 sunucusundan kodlanmış komutlar alır.
Bilgisayar korsanları tarafından kullanılan ikinci araç, uzaktan paylaşımlar ve hatta yeni bağlı USB sürücüleri de dahil olmak üzere, tehlikeye atılan bilgisayardaki tüm mantıksal sürücülerden veri pessfiltrasyonuna adanmış bir implant olan 'Jackalsteal'dır.
Saldırganlar, dosyaları en son kullanıldığında hedeflenen dosya türlerini, yolları, boyutları belirleyen bağımsız değişkenlerle yürütebilir ve güvenlik araçlarının izleyebileceği belirli yolları hariç tutabilir.
SET parametrelerini eşleştiren tüm dosyalar AES, RSA veya DES kullanılarak şifrelenir, ardından GZIP ile sıkıştırılır ve sonunda C2 sunucusuna iletilir.
Goldenjackal'ın cephaneliğindeki üçüncü araç, USB sürücülerini potansiyel olarak diğer değerli bilgisayarlara yayılmak üzere enfekte eden 'Jackalworm'dur.
Kaspersky raporunu, "Kötü amaçlı yazılım çıkarılabilir bir USB depolama aygıtını algıladığında, kendini kopyalayacaktır."
"Aynı dizin adını kullanarak sürücü kökü üzerinde bir kopyasını oluşturacak ve dizinin özniteliğini" Gizli "olarak değiştirecektir. Bu, gerçek dizinin gizlenmesine ve yerine yazılımın bir kopyasıyla dizin adıyla değiştirilmesine neden olacaktır.
Doğasını gizlemek ve kurbanı yürütmeye kandırmak için 'Jackalworm' çıkarılabilir sürücüde bir Windows dizin simgesi kullanır.
Bu olursa, solucan ana bilgisayar sistemini enfekte eder, planlanmış bir görev oluşturarak kalıcılık oluşturur ve ardından kopyasını USB sürücüsünden silecektir.
Golden Jackal Apt tarafından kullanılan dördüncü araç, Web tarayıcılarında depolanan ek tarama geçmişini ve kimlik bilgilerini tanımlama ve eksfiltrasyon özelliklerine sahip temel bir sistem bilgi toplayıcısı olan 'Jacklperinfo'dur.
Tipik bir info-stealer kötü amaçlı yazılım gibi hizmet veren Jacklperinfo, masaüstü, belgeler, indirmeler ve appdata \ roaming \ microsoft \ windows \ yeni dizinlerinden dosyaları da dışarı atabilir.
Kaspersky'nin raporunda sunulan beşinci ve son kötü amaçlı yazılım aracı, enfekte olmuş cihazdaki ekran görüntülerini çekmek için kullanılan 'JackalscreenWatcher'dır.
Operatörler çözünürlük ve görüntü yakalama zaman aralıklarını belirleyebilir ve araç, şifrelenmiş yükler şeklinde HTTP posta istekleri aracılığıyla ortamı C2'ye gönderir.
Sonuç olarak, Goldenjackal, Kaspersky'nin uzun vadeli casusluk operasyonları olduğuna inandığı şeyi gerçekleştirmek için sınırlı sayıda kurbana karşı kapsamlı bir dizi özel araç kullanıyor.
APT'nin operasyonel taktikleri hakkında çok az şey bilinse de, gözlemlenen enfeksiyon zincirlerindeki çeşitlilik, yüksek yetenekli kötü amaçlı yazılım araçlarıyla birleştiğinde, bunun sofistike bir tehdit oyuncusu olduğundan şüphe bırakmıyor.
Beş yıllık saldırılardan sonra ortaya çıkan gizli merdoor kötü amaçlı yazılım
Çinli bilgisayar korsanları casusluk için yeni Linux kötü amaçlı yazılım varyantları kullanıyor
2018'den beri yeni maruz kalan apt43 hackleme grubu bizi orgs hedefliyor
'Acı' Casusluk Bilgisayar korsanları Çin nükleer enerji kuruluşlarını hedefleyin
FBI Nukes Rus Yılan Veri Hırsızlığı Kendi Kendini İrtifa Komutu ile Kötü Yazılım
Kaynak: Bleeping Computer