A Kaspersky descobriu um novo grupo de cibercrimes. O grupo, chamado GoldenJackal, está ativo desde 2019, mas não tem perfil público e permanece em grande parte um mistério. De acordo com as informações obtidas na pesquisa, o grupo visa principalmente instituições públicas e diplomáticas do Oriente Médio e Sul da Ásia.
A Kaspersky começou a monitorar o GoldenJakal em meados de 2020. Este grupo corresponde a um ator de ameaça qualificado e moderadamente camuflado e exibe um fluxo consistente de atividade. A principal característica do grupo é que seus objetivos são sequestrar computadores, espalhar-se entre sistemas por meio de unidades removíveis e roubar determinados arquivos. Isso mostra que os principais objetivos do agente da ameaça são a espionagem.
De acordo com a pesquisa da Kaspersky, o agente da ameaça usa instaladores falsos do Skype e documentos maliciosos do Word como vetores iniciais para ataques. O falso instalador do Skype consiste em um arquivo executável de aproximadamente 400 MB e contém o Trojan JackalControl e um instalador legítimo do Skype for Business. O primeiro uso desta ferramenta remonta a 2020. Outro vetor de infecção é baseado em um documento malicioso que explora a vulnerabilidade Follina, usando uma técnica de injeção remota de modelo para baixar uma página HTML criada especificamente.
O documento é intitulado “Galeria de oficiais que receberam prêmios nacionais e estrangeiros.docx” e parece ser uma circular legítima solicitando informações sobre oficiais premiados pelo governo paquistanês. As informações sobre a vulnerabilidade Follina foram compartilhadas pela primeira vez em 29 de maio de 2022 e o documento foi alterado em 1º de junho, dois dias após o lançamento da vulnerabilidade, de acordo com os registros. O documento foi visto pela primeira vez em 2 de junho. Iniciar o executável que contém o malware Trojan JackalControl após baixar o objeto de documento externo configurado para carregar um objeto externo de um site legítimo e comprometido.
Ataque JackalControl, controlado remotamente
O ataque JackalControl serve como o Trojan principal que permite aos invasores controlar remotamente a máquina alvo. Ao longo dos anos, os invasores distribuíram diferentes variantes desse malware. Algumas variantes contêm códigos adicionais para manter sua permanência, enquanto outras são configuradas para operar sem infectar o sistema. As máquinas geralmente são infectadas por meio de outros componentes, como scripts em lote.
A segunda ferramenta importante amplamente utilizada pelo grupo GoldenJackal é o JackalSteal. Essa ferramenta pode ser usada para monitorar unidades USB removíveis, compartilhamentos remotos e todas as unidades lógicas no sistema de destino. O malware pode ser executado como um processo ou serviço padrão. No entanto, ele não pode manter sua persistência e, portanto, precisa ser carregado por outro componente.
Por fim, GoldenJackal usa várias ferramentas adicionais, como JackalWorm, JackalPerInfo e JackalScreenWatcher. Essas ferramentas são usadas em situações específicas testemunhadas pelos pesquisadores da Kaspersky. Este kit de ferramentas visa controlar as máquinas das vítimas, roubar credenciais, fazer capturas de tela de desktops e indicar propensão à espionagem como o alvo final.
Giampaolo Dedola, pesquisador sênior de segurança da Kaspersky Global Research and Analysis Team (GReAT), disse:
“GoldenJackal é um ator APT interessante tentando ficar fora de vista com seu perfil discreto. Apesar do início das operações em junho de 2019, eles conseguiram permanecer ocultos. Com um kit de ferramentas de malware avançado, esse ator tem sido altamente prolífico em seus ataques a organizações públicas e diplomáticas no Oriente Médio e no sul da Ásia. Como algumas das incorporações de malware ainda estão em desenvolvimento, é crucial que as equipes de segurança cibernética fiquem atentas a possíveis ataques desse agente. Esperamos que nossa análise ajude a prevenir as atividades do GoldenJackal.”