GoldenJackal: een sluipende dreigingsactor die overheidsnetwerken als doelwit heeft

GoldenJackal is een relatief obscure maar zeer capabele cyber-espionagegroep die in verband is gebracht met meerdere aanvallen op diplomatieke en overheidsorganisaties, met name gericht op systemen die fysiek geïsoleerd zijn van het internet. Deze geavanceerde dreigingsactor opereert met een hoge mate van stealth en vindingrijkheid, en gebruikt op maat gemaakte malware-toolsets om gevoelige netwerken te compromitteren en vertrouwelijke gegevens te stelen.

De evolutie van GoldenJackal's gereedschap

Sinds GoldenJackal in 2023 voor het eerst onder de aandacht kwam van beveiligingsonderzoekers, wordt het in verband gebracht met aanvallen in regio's als het Midden-Oosten, Zuid-Azië en Europa. De activiteiten gaan echter terug tot ten minste 2019. Wat deze groep onderscheidt, is het gebruik van gespecialiseerde malware om air-gapped systemen te doorbreken: systemen die niet met een netwerk zijn verbonden, waardoor ze moeilijk op afstand te infiltreren zijn.

De malware van GoldenJackal is ontworpen om te verspreiden via USB-drives. Een worm, JackalWorm genoemd, verspreidt zich tussen verbonden apparaten en wordt vaak gecombineerd met een trojan genaamd JackalControl, die aanvallers controle geeft over gecompromitteerde systemen. Het doel is om gegevens te verzamelen en te exfiltreren van waardevolle doelen, zoals overheidscomputers, die anders moeilijk toegankelijk zijn.

Gegevens stelen van geïsoleerde netwerken

Het primaire doel van de groep lijkt datadiefstal van prominente doelen te zijn. Onderzoekers geloven dat GoldenJackal meerdere versies van malware heeft ontwikkeld om informatie te stelen van air-gapped computers. Deze tactiek omvat het infecteren van USB-drives met malware, die vervolgens de payloads overdraagt tussen met internet verbonden machines en geïsoleerde systemen.

Enkele van de aangepaste malwaretools die aan GoldenJackal worden toegeschreven, zijn:

• GoldenDealer : Ontworpen om systemen met internetverbinding te infecteren en schadelijke payloads via geïnfecteerde USB-sticks naar apparaten zonder internetverbinding te sturen.
• GoldenHowl : een flexibele backdoor waarmee aanvallers bestanden kunnen stelen, taken kunnen aanmaken en veilige communicatie met externe servers kunnen opzetten.
• GoldenRobo : een hulpmiddel voor het verzamelen van gegevens waarmee gestolen informatie kan worden geëxfiltreerd.

Een groeiend arsenaal

Recenter is waargenomen dat GoldenJackal een geheel nieuwe set malware gebruikt, voornamelijk geschreven in de programmeertaal Go, gericht op specifieke doelen in Europa. Deze tools zijn ontworpen om veel van dezelfde taken uit te voeren als hun eerdere tegenhangers, zoals het kopiëren van bestanden van USB-sticks en het terugsturen van gegevens naar de aanvallers, maar met een grotere efficiëntie en verfijning.

Opvallend is dat de malware van de groep is ontworpen om in fasen te werken. Zodra een geïnfecteerde USB-drive een air-gapped systeem bereikt, verzamelt de malware stilletjes informatie en slaat deze op de USB op. Wanneer diezelfde drive wordt aangesloten op een apparaat met internettoegang, worden de gegevens automatisch verzonden naar een door de aanvaller gecontroleerde server.

Hoe je jezelf kunt beschermen tegen aanvallen van de GoldenJackal

Verdediging tegen geavanceerde dreigingsactoren zoals GoldenJackal vereist een gelaagde aanpak, met name voor organisaties die gevoelige informatie beheren op air-gapped systemen. Enkele best practices zijn:

• Beperk het gebruik van USB-apparaten : gebruik alleen geautoriseerde USB-apparaten in gevoelige omgevingen en scan ze regelmatig op tekenen van inbreuk.
• Netwerksegmentatie : Organisaties moeten zorgen voor een strikte scheiding tussen systemen die met internet zijn verbonden en systemen die gevoelige gegevens verwerken. Hierdoor wordt het voor malware moeilijker om de kloof te dichten.
• Regelmatige controle : routinematige inspecties van USB-verkeer en systeemlogboeken kunnen verdachte activiteiten detecteren voordat deze escaleren.

GoldenJackal blijft een sluipende en gevaarlijke tegenstander, die zijn tactieken voortdurend verfijnt. Door te begrijpen hoe de groep opereert en proactieve stappen te ondernemen om geïsoleerde netwerken te beveiligen, kunnen organisaties het risico op dergelijke aanvallen verkleinen.