GoldenJackal: Um ator de ameaça furtivo que tem como alvo redes governamentais
GoldenJackal é um grupo de ciberespionagem relativamente obscuro, mas altamente capaz, que foi conectado a vários ataques a organizações diplomáticas e governamentais, com foco especial em sistemas fisicamente isolados da internet. Esse sofisticado ator de ameaças opera com alto grau de furtividade e engenhosidade, usando conjuntos de ferramentas de malware personalizados para comprometer redes sensíveis e roubar dados confidenciais.
Table of Contents
A evolução das ferramentas do GoldenJackal
Desde que chamou a atenção dos pesquisadores de segurança em 2023, o GoldenJackal foi associado a ataques em regiões como Oriente Médio, Sul da Ásia e Europa. No entanto, suas operações datam de pelo menos 2019. O que diferencia esse grupo é o uso de malware especializado para violar sistemas air-gapped — aqueles que não estão conectados a nenhuma rede, o que os torna difíceis de infiltrar remotamente.
O malware do GoldenJackal é projetado para se espalhar por meio de drives USB. Um worm, conhecido como JackalWorm , se espalha entre dispositivos conectados e geralmente é pareado com um trojan conhecido como JackalControl, que dá aos invasores controle sobre sistemas comprometidos. O objetivo é coletar e exfiltrar dados de alvos de alto valor, como computadores do governo, que de outra forma seriam difíceis de acessar.
Roubando dados de redes isoladas
O objetivo principal do grupo parece ser o roubo de dados de alvos de alto perfil. Os pesquisadores acreditam que o GoldenJackal desenvolveu várias versões de malware para roubar informações de computadores com air-gapped. Essa tática envolve infectar drives USB com malware, que então transfere as cargas úteis entre máquinas conectadas à internet e sistemas isolados.
Algumas das ferramentas de malware personalizadas atribuídas ao GoldenJackal incluem:
- GoldenDealer : Projetado para comprometer sistemas conectados à Internet e transferir cargas maliciosas para máquinas isoladas por meio de unidades USB infectadas.
- GoldenHowl : Um backdoor flexível que permite que invasores roubem arquivos, criem tarefas e estabeleçam comunicações seguras com servidores externos.
- GoldenRobo : Uma ferramenta de coleta de dados usada para exfiltrar informações roubadas.
Um Arsenal Crescente
Mais recentemente, o GoldenJackal foi observado empregando um conjunto inteiramente novo de malware, escrito principalmente na linguagem de programação Go, visando alvos específicos na Europa. Essas ferramentas são projetadas para executar muitas das mesmas tarefas que suas contrapartes anteriores, como copiar arquivos de drives USB e enviar dados de volta para os invasores, mas com maior eficiência e sofisticação.
Notavelmente, o malware do grupo é projetado para funcionar em estágios. Uma vez que uma unidade USB infectada atinge um sistema com air-gapped, o malware coleta silenciosamente informações e as armazena no USB. Quando essa mesma unidade é conectada a um dispositivo habilitado para internet, os dados são automaticamente transmitidos para um servidor controlado pelo invasor.
Como se proteger contra ataques de GoldenJackal
A defesa contra agentes de ameaças avançadas como GoldenJackal requer uma abordagem em camadas, particularmente para organizações que gerenciam informações confidenciais em sistemas air-gapped. Algumas práticas recomendadas incluem:
- Limitação do uso de dispositivos USB : somente dispositivos USB autorizados devem ser usados em ambientes sensíveis e devem ser verificados regularmente quanto a sinais de comprometimento.
- Segmentação de rede : as organizações devem garantir uma separação rigorosa entre os sistemas voltados para a Internet e aqueles que lidam com dados confidenciais, dificultando a passagem de malware.
- Monitoramento regular : inspeções de rotina do tráfego USB e dos registros do sistema podem ajudar a detectar atividades suspeitas antes que elas se agravem.
GoldenJackal continua sendo um adversário furtivo e perigoso, refinando continuamente suas táticas. Ao entender como o grupo opera e tomar medidas proativas para proteger redes isoladas, as organizações podem reduzir o risco de tais ataques.
