Kaspersky hat eine neue Cybercrime-Gruppe entdeckt. Die Gruppe namens GoldenJackal ist seit 2019 aktiv, hat jedoch kein öffentliches Profil und bleibt weitgehend ein Rätsel. Den Erkenntnissen der Recherche zufolge zielt die Gruppe vor allem auf öffentliche und diplomatische Institutionen im Nahen Osten und Südasien ab.
Kaspersky begann Mitte 2020 mit der Überwachung von GoldenJakal. Diese Gruppe entspricht einem erfahrenen und mäßig getarnten Bedrohungsakteur und weist einen konsistenten Aktivitätsfluss auf. Das Hauptmerkmal der Gruppe besteht darin, dass ihre Ziele darin bestehen, Computer zu kapern, sich über Wechseldatenträger zwischen Systemen zu verbreiten und bestimmte Dateien zu stehlen. Dies zeigt, dass die Hauptziele des Bedrohungsakteurs Spionage sind.
Den Recherchen von Kaspersky zufolge nutzt der Bedrohungsakteur gefälschte Skype-Installationsprogramme und bösartige Word-Dokumente als erste Vektoren für Angriffe. Das gefälschte Skype-Installationsprogramm besteht aus einer ausführbaren Datei von etwa 400 MB und enthält den JackalControl-Trojaner und ein legitimes Skype for Business-Installationsprogramm. Der erste Einsatz dieses Tools geht auf das Jahr 2020 zurück. Ein weiterer Infektionsvektor basiert auf einem bösartigen Dokument, das die Follina-Schwachstelle ausnutzt und mithilfe einer Remote-Template-Injection-Technik eine speziell erstellte HTML-Seite herunterlädt.
Das Dokument trägt den Titel „Galerie der Offiziere, die nationale und ausländische Auszeichnungen erhalten haben.docx“ und scheint ein legitimes Rundschreiben zu sein, in dem Informationen über von der pakistanischen Regierung ausgezeichnete Offiziere angefordert werden. Informationen zur Follina-Schwachstelle wurden erstmals am 29. Mai 2022 weitergegeben und das Dokument wurde den Unterlagen zufolge am 1. Juni, zwei Tage nach der Veröffentlichung der Schwachstelle, geändert. Das Dokument wurde erstmals am 2. Juni entdeckt. Starten der ausführbaren Datei, die die Trojaner-Malware JackalControl enthält, nach dem Herunterladen des externen Dokumentobjekts, das zum Laden eines externen Objekts von einer legitimen und kompromittierten Website konfiguriert ist.
JackalControl-Angriff, ferngesteuert
Der JackalControl-Angriff dient als Haupttrojaner, der es Angreifern ermöglicht, den Zielcomputer fernzusteuern. Im Laufe der Jahre haben Angreifer verschiedene Varianten dieser Malware verbreitet. Einige Varianten enthalten zusätzliche Codes, um ihre Dauerhaftigkeit aufrechtzuerhalten, während andere so konfiguriert sind, dass sie funktionieren, ohne das System zu infizieren. Maschinen werden häufig über andere Komponenten wie Batch-Skripte infiziert.
Das zweite wichtige Tool, das von der GoldenJackal-Gruppe häufig verwendet wird, ist JackalSteal. Mit diesem Tool können entfernbare USB-Laufwerke, Remote-Freigaben und alle logischen Laufwerke im Zielsystem überwacht werden. Die Malware kann als Standardprozess oder -dienst ausgeführt werden. Allerdings kann es seine Persistenz nicht aufrechterhalten und muss daher von einer anderen Komponente geladen werden.
Schließlich verwendet GoldenJackal eine Reihe zusätzlicher Tools wie JackalWorm, JackalPerInfo und JackalScreenWatcher. Diese Tools werden in bestimmten Situationen eingesetzt, die von Kaspersky-Forschern beobachtet wurden. Dieses Toolkit zielt darauf ab, die Computer der Opfer zu kontrollieren, Zugangsdaten zu stehlen, Screenshots von Desktops zu erstellen und eine Neigung zur Spionage als ultimatives Ziel anzuzeigen.
Giampaolo Dedola, Senior Security Researcher beim Kaspersky Global Research and Analysis Team (GReAT), sagte:
„GoldenJackal ist ein interessanter APT-Schauspieler, der versucht, durch seine unauffällige Haltung außer Sichtweite zu bleiben. Trotz der ersten Inbetriebnahme im Juni 2019 ist es ihnen gelungen, im Verborgenen zu bleiben. Mit einem fortschrittlichen Malware-Toolkit war dieser Akteur bei seinen Angriffen auf öffentliche und diplomatische Organisationen im Nahen Osten und Südasien äußerst produktiv. Da sich einige der Malware-Einbettungen noch in der Entwicklung befinden, ist es für Cybersicherheitsteams von entscheidender Bedeutung, nach möglichen Angriffen dieses Akteurs Ausschau zu halten. Wir hoffen, dass unsere Analyse dazu beitragen wird, die Aktivitäten von GoldenJackal zu verhindern.“