Un nuovo attore di minacce persistenti avanzate sta prendendo di mira governi ed entità diplomatiche del Medio Oriente e del Sud Asia. Nota come GoldenJackal, la squadra è stata caratterizzata come capace e furtiva dalla società di cybersecurity russa Kaspersky, che monitora le attività del gruppo dal 2020.
L’Area di Attacco e le operazioni di GoldenJackal
La portata delle attività di GoldenJackal è focalizzata su Afghanistan, Azerbaijan, Iran, Iraq, Pakistan e Turchia, infettando le vittime con malware su misura che ruba dati, si propaga attraverso sistemi tramite dispositivi rimovibili e conduce sorveglianza. Il gruppo si sospetta sia attivo da almeno quattro anni, ma si sa poco di esso. Nonostante Kaspersky non sia stata in grado di determinare la sua origine o l’affiliazione con altri noti attori di minaccia, il modus operandi del gruppo suggerisce una motivazione legata allo spionaggio.
Inoltre, i tentativi dell’attore di minaccia di mantenere un basso profilo e scomparire nell’ombra presentano tutte le caratteristiche di un gruppo sponsorizzato da uno stato. Alcune sovrapposizioni tattiche sono state osservate tra l’attore di minaccia e Turla, una delle squadre di hacker sponsorizzate dallo stato russe più prestigiose. In un caso, una macchina vittima è stata infettata da Turla e GoldenJackal a due mesi di distanza.
Tecniche di infiltrazione e arsenal di malware di GoldenJackal
Il percorso iniziale preciso utilizzato per violare i computer bersaglio è sconosciuto in questa fase, ma le prove raccolte finora indicano l’uso di installatori Skype trojanizzati e documenti Microsoft Word maligni. Mentre l’installatore funge da condotto per consegnare un trojan basato su .NET chiamato JackalControl, i file Word sono stati osservati mentre sfruttavano la vulnerabilità Follina (CVE-2022-30190) per rilasciare lo stesso malware.
JackalControl, come suggerisce il nome, consente agli aggressori di prendere il controllo remoto della macchina, eseguire comandi arbitrari, nonché caricare e scaricare dal e verso il sistema. Alcune delle altre famiglie di malware distribuite da GoldenJackal includono:
- JackalSteal: un impianto utilizzato per trovare file di interesse, inclusi quelli situati in unità USB rimovibili, e trasmetterli a un server remoto.
- JackalWorm: un worm progettato per infettare sistemi tramite unità USB rimovibili e installare il trojan JackalControl.
- JackalPerInfo: un malware dotato di funzionalità per raccogliere metadati di sistema, contenuti di cartelle, applicazioni installate, processi in esecuzione e credenziali memorizzate nei database dei browser web.
- JackalScreenWatcher: uno strumento per catturare screenshot basati su un intervallo di tempo preimpostato e inviarli a un server controllato dagli attori.
Un altro aspetto notevole dell’attore di minaccia è la sua dipendenza da siti WordPress piratati come mezzo per inoltrare le richieste web al vero server di comando e controllo tramite un file PHP rogue iniettato nei siti web.
“Probabilmente il gruppo sta cercando di ridurre la sua visibilità limitando il numero di vittime”, ha dichiarato Giampaolo Dedola, ricercatore di Kaspersky. “Il loro kit di strumenti sembra essere in fase di sviluppo – il numero di varianti mostra che stanno ancora investendo in esso.”