GoldenJackal：針對政府網路的隱形威脅者

GoldenJackal 是一個相對默默無聞但能力很強的網路間諜組織，與對外交和政府組織的多次攻擊有關，特別關注與網路物理隔離的系統。這個複雜的威脅行為者以高度的隱藏性和獨創性運作，使用客製化的惡意軟體工具集來破壞敏感網路並竊取機密資料。

GoldenJackal 工具的演變

自 2023 年首次引起安全研究人員注意以來，GoldenJackal 一直與中東、南亞和歐洲等地區的攻擊有關。然而，其行動至少可以追溯到 2019 年。

GoldenJackal 的惡意軟體旨在透過 USB 驅動器傳播。一種名為JackalWorm 的蠕蟲病毒在連接的設備之間傳播，並且通常與名為 JackalControl 的特洛伊木馬配對，後者使攻擊者能夠控制受感染的系統。其目的是從高價值目標（例如政府電腦）收集和竊取數據，否則這些數據將難以存取。

從孤立的網路竊取數據

該組織的主要目標似乎是從知名目標竊取資料。研究人員認為 GoldenJackal 開發了多個版本的惡意軟體來竊取氣隙電腦中的資訊。這種策略涉及用惡意軟體感染 USB 驅動器，然後在連接互聯網的機器和隔離系統之間傳輸有效負載。

GoldenJackal 的一些自訂惡意軟體工具包括：

• GoldenDealer ：旨在破壞連網系統並透過受感染的 USB 隨身碟將惡意負載傳輸到氣隙電腦。
• GoldenHowl ：一個靈活的後門，允許攻擊者竊取檔案、建立任務以及與外部伺服器建立安全通訊。
• GoldenRobo ：一種用於洩漏被盜資訊的資料收集工具。

不斷壯大的軍火庫

最近，人們發現 GoldenJackal 使用了一套全新的惡意軟體，主要以 Go 程式語言編寫，針對歐洲的特定目標。這些工具旨在執行許多與早期工具相同的任務，例如從 USB 驅動器複製檔案並將資料發送回攻擊者，但效率和複雜性更高。

值得注意的是，該組織的惡意軟體被設計為分階段運作。一旦受感染的 USB 隨身碟到達氣隙系統，惡意軟體就會悄悄地收集資訊並將其儲存在 USB 上。當相同磁碟機連接到支援網際網路的裝置時，資料會自動傳送到攻擊者控制的伺服器。

如何防範 GoldenJackal 攻擊

防禦 GoldenJackal 等高階威脅行為者需要採用分層方法，特別是對於在氣隙系統上管理敏感資訊的組織而言。一些最佳實踐包括：

• 限制 USB 裝置的使用：只有經過授權的 USB 裝置才能在敏感環境中使用，並且應定期掃描它們是否有受損跡象。
• 網路分段：組織應確保面向互聯網的系統與處理敏感資料的系統之間嚴格分離，從而使惡意軟體更難彌合差距。
• 定期監控：定期檢查 USB 流量和系統日誌可以幫助在可疑活動升級之前偵測到它。

GoldenJackal 仍然是一個隱密而危險的對手，並不斷完善其戰術。透過了解組織的運作方式並採取主動措施來保護隔離網絡，組織可以降低此類攻擊的風險。