Kaspersky hà scupertu un novu gruppu cibercriminali. Ancu se stu gruppu, chjamatu GoldenJackal, hè attivu da u 2019, ùn hà micca un prufilu publicu è ferma largamente misteriosu. Sicondu l'infurmazioni ottenute da a ricerca, u gruppu hè generalmente destinatu à l'urganisazioni publiche è diplomatiche in u Mediu Oriente è l'Asia Meridionale.
Kaspersky hà cuminciatu à monitorà u gruppu GoldenJakal à a mità di 2020. Stu gruppu currisponde à un attore di minaccia qualificatu cù cumpetenze furtive moderate è mostra un flussu consistente di attività. A funzione principale di u gruppu hè chì i so scopi sò di dirottare l'urdinatori, sparghje trà i sistemi per via di unità removable è arrubbate schedarii specifichi. Questu mostra chì u scopu principale di l'attore di minaccia hè l'spionamentu.
Sicondu a ricerca di Kaspersky, l'attore di minaccia usa falsi installatori Skype è documenti Word maliziusi cum'è vettori iniziali per i so attacchi. U falsu installatore Skype hè custituitu da un schedariu eseguibile chì hè di circa 400 MB di dimensione è cuntene u Trojan JackalControl è un installatore legittimu di Skype for Business. U primu usu di stu strumentu data di 2020. Un altru vettore di infezzione hè basatu annantu à un documentu maliziusu chì sfrutta a vulnerabilità Follina, utilizendu una tecnica di templating remota per scaricà una pagina HTML destinata.
U ducumentu hè intitulatu "Gallery of Officers Who Have Received National and Foreign Awards.docx" è pare esse una circular legittima chì dumanda infurmazioni nantu à l'ufficiali attribuiti da u guvernu pakistanese. L'infurmazione nantu à a vulnerabilità Follina hè stata sparta per a prima volta u 29 di maghju di u 2022, è u documentu in quistione hè statu mudificatu u 1 di ghjugnu, dui ghjorni dopu a publicazione di a vulnerabilità, secondu i registri. U documentu hè statu vistu per a prima volta u 2 di ghjugnu. Cunfiguratu per carricà un ughjettu esternu da un situ web legittimu, cumprumissu, u documentu lancia l'executable chì cuntene u malware JackalControl Trojan dopu avè scaricatu l'ughjettu esternu.
L'attaccu JackalControl hè cuntrullatu remotamente
L'attaccu JackalControl serve cum'è u Trojan principalu chì permette à l'attaccanti di cuntrullà remotamente a macchina di destinazione. À l'anni, l'attaccanti anu distribuitu diverse varianti di stu malware. Mentre chì alcune varianti cuntenenu codici supplementari per mantene a so permanenza, altri sò cunfigurati per travaglià senza infettà u sistema. I machini sò spessu infettati attraversu altri cumpunenti cum'è script batch.
U sicondu strumentu impurtante largamente utilizatu da u gruppu GoldenJackal hè chjamatu JackalSteal. Stu strumentu pò ièssiri usatu a surviglianza di unità USB removable, sparte remoti, è tutte e unità logica nant'à u sistema di mira. Malware pò eseguisce cum'è un prucessu o serviziu standard. Tuttavia, ùn pò micca mantene a persistenza è dunque deve esse caricata da un altru cumpunente.
Infine, GoldenJackal usa una quantità di strumenti supplementari cum'è JackalWorm, JackalPerInfo è JackalScreenWatcher. Sti arnesi sò usati in situazioni specifiche tistimuniate da i circadori Kaspersky. Stu toolkit hà u scopu di cuntrullà e macchine di e vittime, arrubà e credenziali, piglià screenshots di desktop, è hà un apparente inclinazione à l'spionamentu cum'è u scopu ultimu.
Giampaolo Dedola, Senior Security Researcher in Kaspersky Global Research and Analysis Team (GReAT), hà dettu:
"GoldenJackal hè un attore APT interessante chì prova di stà sottu à u radar cun un prufilu bassu. Ancu s'elli anu cuminciatu à operare in u ghjugnu di u 2019, anu sappiutu di stà sicretu. Stu attore, chì hà un toolkit di malware avanzatu, hè statu assai prolificu in i so attacchi contr'à l'urganisazioni publichi è diplomatiche in u Mediu Oriente è l'Asia di u Sud. Siccomu alcune di e implementazioni di malware sò sempre in sviluppu, hè cruciale per e squadre di cibersecurità per guardà i pussibuli attacchi da questu attore. "Speremu chì a nostra analisi aiuterà à prevene l'attività di GoldenJackal".