GoldenJackal: A Stealthy Threat Actor rettet mot offentlige nettverk

GoldenJackal er en relativt obskur, men svært dyktig cyberspionasjegruppe som har vært koblet til flere angrep på diplomatiske og statlige organisasjoner, spesielt med fokus på systemer som er fysisk isolert fra internett. Denne sofistikerte trusselaktøren opererer med en høy grad av sniking og oppfinnsomhet, og bruker skreddersydde verktøysett for skadelig programvare for å kompromittere sensitive nettverk og stjele konfidensielle data.

Utviklingen av GoldenJackals verktøy

Siden første gang ble oppdaget av sikkerhetsforskere i 2023, har GoldenJackal vært knyttet til angrep i regioner som Midtøsten, Sør-Asia og Europa. Virksomheten går imidlertid tilbake til minst 2019. Det som skiller denne gruppen er bruken av spesialisert skadelig programvare for å bryte systemer med luftgap – de som ikke er koblet til noe nettverk, noe som gjør dem vanskelige å infiltrere eksternt.

GoldenJackals skadevare er utviklet for å spres via USB-stasjoner. En orm, referert til som JackalWorm , sprer seg mellom tilkoblede enheter og er ofte sammenkoblet med en trojaner kjent som JackalControl, som gir angripere kontroll over kompromitterte systemer. Målet er å samle inn og eksfiltrere data fra mål med høy verdi, for eksempel offentlige datamaskiner, som ellers er vanskelig tilgjengelige.

Stjele data fra isolerte nettverk

Gruppens primære mål ser ut til å være datatyveri fra høyprofilerte mål. Forskere mener GoldenJackal har utviklet flere versjoner av skadelig programvare for å stjele informasjon fra datamaskiner med lufthull. Denne taktikken innebærer å infisere USB-stasjoner med skadelig programvare, som deretter overfører nyttelasten mellom internett-tilkoblede maskiner og isolerte systemer.

Noen av de tilpassede skadevareverktøyene som tilskrives GoldenJackal inkluderer:

• GoldenDealer : Designet for å kompromittere internett-tilkoblede systemer og overføre skadelige nyttelaster til maskiner med lufthull via infiserte USB-stasjoner.
• GoldenHowl : En fleksibel bakdør som lar angripere stjele filer, lage oppgaver og etablere sikker kommunikasjon med eksterne servere.
• GoldenRobo : Et datainnsamlingsverktøy som brukes til å eksfiltrere stjålet informasjon.

Et Arsenal i vekst

Mer nylig har GoldenJackal blitt observert å bruke et helt nytt sett med skadelig programvare, primært skrevet i programmeringsspråket Go, rettet mot spesifikke mål i Europa. Disse verktøyene er designet for å utføre mange av de samme oppgavene som deres tidligere motparter, som å kopiere filer fra USB-stasjoner og sende data tilbake til angriperne, men med økt effektivitet og sofistikering.

Spesielt er gruppens skadevare utviklet for å fungere i etapper. Når en infisert USB-stasjon når et system med lufthull, samler skadevaren informasjon stille inn og lagrer den på USB-en. Når den samme stasjonen er koblet til en Internett-aktivert enhet, blir dataene automatisk overført til en angriperkontrollert server.

Slik beskytter du deg mot GoldenJackal-angrep

Forsvar mot avanserte trusselaktører som GoldenJackal krever en lagdelt tilnærming, spesielt for organisasjoner som administrerer sensitiv informasjon på lufthullssystemer. Noen beste fremgangsmåter inkluderer:

• Begrense bruk av USB-enhet : Kun autoriserte USB-enheter skal brukes i sensitive miljøer, og de bør regelmessig skannes for tegn på kompromittering.
• Nettverkssegmentering : Organisasjoner bør sørge for streng separasjon mellom internettvendte systemer og de som håndterer sensitive data, noe som gjør det vanskeligere for skadelig programvare å bygge bro over gapet.
• Regelmessig overvåking : Rutinemessige inspeksjoner av USB-trafikk og systemlogger kan bidra til å oppdage mistenkelig aktivitet før den eskalerer.

GoldenJackal forblir en snikende og farlig motstander, som kontinuerlig finpusser taktikken sin. Ved å forstå hvordan gruppen opererer og ta proaktive skritt for å sikre isolerte nettverk, kan organisasjoner redusere risikoen for slike angrep.