GoldenJackal: 政府ネットワークを狙うステルス型の脅威アクター

GoldenJackal は、比較的目立たないが非常に有能なサイバースパイ集団であり、外交機関や政府機関に対する複数の攻撃に関与しており、特にインターネットから物理的に隔離されたシステムに重点を置いています。この洗練された脅威アクターは、高度なステルス性と創意工夫を駆使して活動し、カスタマイズされたマルウェアツールセットを使用して機密ネットワークを侵害し、機密データを盗みます。

GoldenJackalのツールの進化

GoldenJackal は、2023 年に初めてセキュリティ研究者の注目を集めて以来、中東、南アジア、ヨーロッパなどの地域での攻撃に関与していると言われています。しかし、その活動は少なくとも 2019 年にまで遡ります。このグループの特徴は、特殊なマルウェアを使用してエアギャップ システムに侵入することです。エアギャップ システムは、どのネットワークにも接続されていないため、リモートからの侵入が困難です。

GoldenJackal のマルウェアは、USB ドライブを介して拡散するように設計されています。JackalWorm と呼ばれるワームは、接続されたデバイス間で拡散し、多くの場合、JackalControl と呼ばれるトロイの木馬とペアになっています。これにより、攻撃者は侵入したシステムを制御できます。その目的は、通常はアクセスが難しい政府のコンピューターなど、価値の高いターゲットからデータを収集して盗み出すことです。

隔離されたネットワークからデータを盗む

このグループの主な目的は、著名人からデータを盗むことだと思われる。研究者らは、GoldenJackal が隔離されたコンピュータから情報を盗むために複数のバージョンのマルウェアを開発したと考えている。この戦術では、USB ドライブをマルウェアに感染させ、インターネットに接続されたマシンと隔離されたシステムの間でペイロードを転送する。

GoldenJackal に起因するカスタム マルウェア ツールには、次のものがあります。

• GoldenDealer : インターネットに接続されたシステムを侵害し、感染した USB ドライブを介して悪意のあるペイロードをエアギャップマシンに転送するように設計されています。
• GoldenHowl : 攻撃者がファイルを盗み、タスクを作成し、外部サーバーとの安全な通信を確立できるようにする柔軟なバックドア。
• GoldenRobo : 盗まれた情報を外部に持ち出すために使用されるデータ収集ツール。

成長する武器庫

最近では、GoldenJackal が、主に Go プログラミング言語で書かれた、ヨーロッパの特定のターゲットを狙ったまったく新しいマルウェア セットを使用していることが確認されています。これらのツールは、USB ドライブからファイルをコピーして攻撃者にデータを送り返すなど、以前のツールと同じタスクの多くを実行するように設計されていますが、効率と洗練性が向上しています。

注目すべきは、このグループのマルウェアは段階的に動作するように設計されていることだ。感染した USB ドライブが隔離されたシステムに到達すると、マルウェアはひそかに情報を収集し、それを USB に保存する。同じドライブがインターネット対応デバイスに接続されると、データは攻撃者が管理するサーバーに自動的に送信される。

GoldenJackal 攻撃から身を守る方法

GoldenJackal のような高度な脅威アクターから身を守るには、特にエアギャップ システムで機密情報を管理する組織では、階層化されたアプローチが必要です。ベスト プラクティスには次のようなものがあります。

• USB デバイスの使用制限: 機密性の高い環境では、許可された USB デバイスのみを使用し、侵害の兆候がないか定期的にスキャンする必要があります。
• ネットワークのセグメンテーション: 組織は、インターネットに接続されたシステムと機密データを処理するシステムとを厳密に分離し、マルウェアがそのギャップを埋めにくくする必要があります。
• 定期的な監視: USB トラフィックとシステム ログを定期的に検査すると、疑わしいアクティビティが拡大する前に検出できます。

GoldenJackal は、引き続きステルス性に優れた危険な攻撃者であり、戦術を絶えず改良しています。このグループの活動方法を理解し、隔離されたネットワークを保護するための積極的な対策を講じることで、組織はこのような攻撃のリスクを軽減できます。