Vlade i diplomatski subjekti na Bliskom istoku i južnoj Aziji meta su novog hakera po imenu GoldenJackal.
Ruska kompanija za kibernetičku bezbjednost Kaspersky, koja prati aktivnosti grupe od sredine 2020. godine, okarakterisala je protivnika kao sposobnog i prikrivenog.
Ciljni opseg kampanje fokusiran je na Afganistan, Azerbejdžan, Iran, Irak, Pakistan i Tursku, inficirajući žrtve prilagođenim malicioznim softverom koji krade podatke, širi se kroz sisteme putem prenosivih diskova i vrši nadzor.
Sumnja se da je GoldenJackal bio aktivan najmanje četiri godine, iako se malo zna o grupi. Kaspersky je rekao da nije mogao utvrditi njegovo porijeklo ili povezanost sa poznatim hakerima, ali njegov modus operandi sugeriše na špijunažu.
Štaviše, pokušaji hakera da zadrži nizak profil i nestane u sjeni nose sva obilježja grupe koju sponzoriše država.
Uz to, uočena su neka taktička preklapanja između hakera i Turle, jedne od elitnih ruskih ekipa za hakerske napade države. U jednom slučaju, žrtvu su zarazili Turla i GoldenJackal u razmaku od dva mjeseca.
Tačan početni put korišten za probijanje ciljanih računara je nepoznat u ovoj fazi, ali do sada prikupljeni dokazi ukazuju na korištenje trojanizovanih Skype instalatera i malicioznih Microsoft Word dokumenata.
Dok instalater služi kao kanal za isporuku .NET-baziranog trojanca pod nazivom JackalControl, primećeno je da Word fajlovi naoružavaju Follina ranjivost (CVE-2022-30190) kako bi izbacili isti malware.
JackalControl, kao što ime govori, omogućava napadačima da daljinski preuzmu mašinu, izvršavaju proizvoljne komande, kao i da uploaduju i preuzimaju sa i na sistem.
Neke od drugih porodica malicioznog softvera koje je postavio GoldenJackal su sledeće:
- JackalSteal – Implant koji se koristi za pronalaženje datoteka od interesa, uključujući one koje se nalaze u prenosivim USB diskovima, i njihovo prenos na udaljeni server.
- JackalWorm – Crv koji je dizajniran da inficira sisteme koristeći prenosive USB diskove i instalira JackalControl trojanac.
- JackalPerInfo – Maliciozni softver koji dolazi sa funkcijama za prikupljanje sistemskih metapodataka, sadržaja foldera, instaliranih aplikacija, pokrenutih procesa i kredencijala pohranjenih u bazama podataka web pretraživača.
- JackalScreenWatcher – Uslužni program za hvatanje snimaka ekrana na osnovu unapred postavljenog vremenskog intervala i njihovo slanje serveru koji kontroliše haker.
Još jedan značajan aspekt hakera je njegovo oslanjanje na hakovane WordPress stranice kao relej za prosljeđivanje web zahtjeva stvarnom serveru za komandu i kontrolu (C2) pomoću lažnog PHP fajla ubačenog u web stranice.
„Grupa verovatno pokušava da smanji svoju vidljivost ograničavanjem broja žrtava“ rekao je istraživač kompanije Kaspersky Giampaolo Dedola. “Čini se da je njihov komplet alata u razvoju, broj varijanti pokazuje da još uvijek ulažu u njega.”
Izvor: The Hacker News