GoldenJackal:针对政府网络的隐秘威胁行为者
GoldenJackal 是一个相对不为人知但能力强大的网络间谍组织,曾多次对外交和政府组织发动攻击,尤其针对与互联网物理隔离的系统。这个老练的威胁行为者行动非常隐秘且巧妙,他们使用定制的恶意软件工具集入侵敏感网络并窃取机密数据。
Table of Contents
GoldenJackal 工具的演变
自 2023 年首次引起安全研究人员的关注以来,GoldenJackal 一直与中东、南亚和欧洲等地区的攻击有关。然而,其行动至少可以追溯到 2019 年。该组织的与众不同之处在于,它使用专门的恶意软件来入侵隔离系统(即未连接到任何网络的系统,因此很难远程入侵)。
GoldenJackal 的恶意软件旨在通过 USB 驱动器传播。一种称为JackalWorm的蠕虫在连接的设备之间传播,并且经常与称为 JackalControl 的木马配对,后者使攻击者能够控制受感染的系统。其目的是从难以访问的高价值目标(例如政府计算机)收集和窃取数据。
从隔离网络窃取数据
该组织的主要目标似乎是窃取知名目标的数据。研究人员认为,GoldenJackal 开发了多个版本的恶意软件,用于从隔离的计算机中窃取信息。这种策略包括用恶意软件感染 USB 驱动器,然后在联网的机器和隔离系统之间传输有效载荷。
GoldenJackal 的一些自定义恶意软件工具包括:
- GoldenDealer :旨在破坏互联网连接系统并通过受感染的 USB 驱动器将恶意负载传输到隔离的机器。
- GoldenHowl :一种灵活的后门,允许攻击者窃取文件、创建任务并与外部服务器建立安全通信。
- GoldenRobo :一种用于窃取被盗信息的数据收集工具。
不断增长的武器库
最近,GoldenJackal 被发现使用了一套全新的恶意软件,主要用 Go 编程语言编写,针对欧洲的特定目标。这些工具旨在执行许多与早期恶意软件相同的任务,例如从 USB 驱动器复制文件并将数据发送回攻击者,但效率和复杂性更高。
值得注意的是,该组织的恶意软件是分阶段进行的。一旦受感染的 USB 驱动器进入隔离系统,恶意软件就会悄悄收集信息并将其存储在 USB 上。当同一驱动器连接到支持互联网的设备时,数据会自动传输到攻击者控制的服务器。
如何防范 GoldenJackal 攻击
防御 GoldenJackal 等高级威胁行为者需要分层方法,特别是对于在隔离系统上管理敏感信息的组织而言。一些最佳实践包括:
- 限制 USB 设备的使用:只有经过授权的 USB 设备才应在敏感环境中使用,并且应定期扫描以查找受损迹象。
- 网络分段:组织应确保面向互联网的系统与处理敏感数据的系统之间严格分离,以使恶意软件更难以弥合差距。
- 定期监控:定期检查 USB 流量和系统日志可以帮助在可疑活动升级之前检测到它。
GoldenJackal 仍然是一个隐秘而危险的对手,不断改进其战术。通过了解该组织的运作方式并采取主动措施保护隔离网络,组织可以降低此类攻击的风险。
