Касперский жаңа киберқылмыс тобын ашты. GoldenJackal деп аталатын топ 2019 жылдан бері белсенді жұмыс істейді, бірақ жалпыға ортақ профилі жоқ және негізінен жұмбақ болып қала береді. Зерттеу нәтижесінде алынған мәліметтерге сәйкес, топ негізінен Таяу Шығыс пен Оңтүстік Азиядағы мемлекеттік және дипломатиялық мекемелерді нысанаға алады.
Касперский GoldenJakal мониторингін 2020 жылдың ортасында бастады. Бұл топ білікті және орташа жасырын қауіп актеріне сәйкес келеді және тұрақты әрекет ағынын көрсетеді. Топтың басты ерекшелігі - олардың мақсаты - компьютерлерді ұрлау, алынбалы дискілер арқылы жүйелер арасында тарату және белгілі бір файлдарды ұрлау. Бұл қауіп актердің негізгі мақсаттары тыңшылық екенін көрсетеді.
Касперскийдің зерттеулеріне сәйкес, қауіп актері шабуылдардың бастапқы векторлары ретінде жалған Skype орнатушылары мен зиянды Word құжаттарын пайдаланады. Жалған Skype орнатушысы шамамен 400 МБ орындалатын файлдан тұрады және JackalControl троянын және заңды Skype for Business орнатушысын қамтиды. Бұл құралды бірінші рет пайдалану 2020 жылдан басталады. Басқа инфекция векторы арнайы жасалған HTML бетін жүктеп алу үшін қашықтағы үлгіні енгізу әдісін қолданып, Follina осалдығын пайдаланатын зиянды құжатқа негізделген.
Құжат «Ұлттық және шетелдік марапаттарға ие болған офицерлер галереясы.docx» деп аталады және Пәкістан үкіметі марапаттаған офицерлер туралы ақпаратты сұрайтын заңды циркуляр болып көрінеді. Follina осалдығы туралы ақпарат алғаш рет 29 жылдың 2022 мамырында бөлісілді, ал құжат осалдық шығарылғаннан кейін екі күн өткен соң, 1 маусымда өзгертілді, делінген жазбаларға сәйкес. Құжат алғаш рет 2 маусымда байқалды. Заңды және бұзылған веб-сайттан сыртқы нысанды жүктеуге конфигурацияланған сыртқы құжат нысанын жүктеп алғаннан кейін JackalControl трояндық зиянды бағдарламасы бар орындалатын файлды іске қосу.
JackalControl шабуылы, қашықтан басқарылады
JackalControl шабуылы шабуылдаушыларға мақсатты машинаны қашықтан басқаруға мүмкіндік беретін негізгі троян ретінде қызмет етеді. Көптеген жылдар бойы шабуылдаушылар осы зиянды бағдарламаның әртүрлі нұсқаларын таратып келеді. Кейбір нұсқаларда олардың тұрақтылығын сақтау үшін қосымша кодтар бар, ал басқалары жүйені жұқтырмай жұмыс істеуге конфигурацияланған. Машиналар көбінесе пакеттік сценарийлер сияқты басқа компоненттер арқылы жұқтырылады.
GoldenJackal тобы кеңінен қолданатын екінші маңызды құрал - JackalSteal. Бұл құралды алынбалы USB дискілерін, қашықтағы бөлісулерді және мақсатты жүйедегі барлық логикалық дискілерді бақылау үшін пайдалануға болады. Зиянды бағдарлама стандартты процесс немесе қызмет ретінде жұмыс істей алады. Дегенмен, ол өзінің тұрақтылығын сақтай алмайды, сондықтан басқа құрамдас арқылы жүктелуі керек.
Соңында, GoldenJackal JackalWorm, JackalPerInfo және JackalScreenWatcher сияқты бірқатар қосымша құралдарды пайдаланады. Бұл құралдар Касперский зерттеушілері куә болған нақты жағдайларда қолданылады. Бұл құралдар жинағы құрбандардың машиналарын басқаруға, тіркелгі деректерін ұрлауға, жұмыс үстелінің скриншоттарын алуға және түпкі мақсат ретінде тыңшылыққа бейімділігін көрсетуге бағытталған.
Джампаоло Дедола, Kaspersky Global Research and Analysis Team (GReAT) компаниясының қауіпсіздік жөніндегі аға зерттеушісі:
«GoldenJackal - қызықты APT актері, өзінің төмен профилімен назардан тыс қалуға тырысады. 2019 жылдың маусымында алғашқы жұмысын бастағанына қарамастан, олар жасырын қала алды. Жетілдірілген зиянды бағдарлама құралдарының жиынтығымен бұл актер Таяу Шығыс пен Оңтүстік Азиядағы қоғамдық және дипломатиялық ұйымдарға шабуыл жасауда жоғары нәтиже көрсетті. Кейбір зиянды бағдарламаларды енгізу әлі де әзірлену үстінде болғандықтан, киберқауіпсіздік топтары үшін бұл актердің ықтимал шабуылдарына назар аудару өте маңызды. Біздің талдауымыз GoldenJackal әрекетінің алдын алуға көмектеседі деп үміттенеміз».