GoldenJackal работи активно в Турция и съседни региони

Правителствени и дипломатически структури в Близкия изток и Южна Азия са мишена на нова усъвършенствана постоянна заплаха, наречена GoldenJackal.

Руската фирма за киберсигурност „Kaspersky“, която следи дейността на групата от средата на 2020 г., характеризира противника като способен и незабележим.

Обхватът на кампанията е насочен към Афганистан, Азербайджан, Иран, Ирак, Пакистан и Турция, като заразява жертвите с адаптиран зловреден софтуер, който краде данни, разпространява се в системите чрез сменяеми дискове и извършва наблюдение.

Предполага се, че GoldenJackal е активен от поне четири години, въпреки че за групата се знае малко. Kaspersky заяви, че не е успял да определи произхода ѝ или връзката ѝ АТР, но начинът на действие на  предполага шпионска мотивация.

Нещо повече, опитите на за заплаха да поддържа нисък профил и да изчезне в сенките носят всички белези на спонсорирана от държавата група.

Въпреки това се наблюдават някои тактически съвпадения между субекта на заплахата и „Турла“ – един от елитните руски хакерски екипи на националната държава. В един от случаите една машина на жертвата е била заразена от Turla и GoldenJackal в разстояние на два месеца.

На този етап не е известен точният първоначален път, използван за проникване в целевите компютри, но събраните до момента доказателства сочат към използването на троянски инсталатори на Skype и злонамерени документи на Microsoft Word.

Докато инсталаторът служи като канал за доставяне на .NET-базиран троянски кон, наречен JackalControl, в Word файловете е наблюдавано използване на уязвимостта Follina (CVE-2022-30190) за пускане на същия зловреден софтуер.

JackalControl, както показва името, позволява на нападателите да управляват отдалечено машината, да изпълняват произволни команди, както и да качват и изтеглят от и към системата.

Някои от другите семейства зловреден софтуер, разгърнати от GoldenJackal, са следните:

  • JackalSteal – имплант, който се използва за намиране на интересуващи ви файлове, включително такива, разположени в сменяеми USB устройства, и за предаването им на отдалечен сървър.
  • JackalWorm – червей, който е създаден да заразява системи, използващи сменяеми USB устройства, и да инсталира троянеца JackalControl.
  • JackalPerInfo – Зловреден софтуер, който е снабден с функции за събиране на системни метаданни, съдържание на папки, инсталирани приложения и стартирани процеси, както и на данни, съхранявани в базите данни на уеб браузърите.
  • JackalScreenWatcher – Помощна програма за заснемане на снимки на екрана на базата на предварително зададен интервал от време и изпращането им на контролиран  сървър.

Друг забележителен аспект на заплахата е, че разчита на хакнати сайтове на WordPress като ретранслатор за препращане на уеб заявки към действителния сървър за управление и контрол (C2) чрез инжектиран в сайтовете измамен PHP файл.

„Групата вероятно се опитва да намали своята видимост, като ограничи броя на жертвите“, каза изследователят на Kaspersky Джампаоло Дедола. „Техният инструментариум изглежда е в процес на разработка – броят на вариантите показва, че те все още инвестират в него“.

Източник: The Hacker News

Подобни публикации

4 декември 2023

Рансъмуерът е безмилостен: какво можете да напр...

Не само, че броят на рансъмуерите се увеличава, но този вид зловред...
3 декември 2023

Свалянето на Qakbot: Смекчаване на последиците ...

Министерството на правосъдието на САЩ и ФБР наскоро си сътрудничиха...
2 декември 2023

Владимир Дунаев е осъден за създаването на злов...

Министерството на правосъдието на САЩ обяви, че руски гражданин е п...
2 декември 2023

Клиентите на онлайн туристическата агенция Book...

Една от най-големите онлайн туристически агенции в света – Booking....
2 декември 2023

Националната ядрена лаборатория на Айдахо е бил...

Националната лаборатория на Айдахо (INL), една от 17-те национални ...
1 декември 2023

Енергийни смущения, свързани с киберсигурността

Експерти по сигурността предупреждават, че операторите на петролни ...
30 ноември 2023

Microsoft започва тестване на новата функция за...

Microsoft започна да тества нова функция на Windows 11 Energy Saver...
30 ноември 2023

Dollar Tree е жертва на нарушаване на сигурност...

Веригата дисконтови магазини Dollar Tree беше засегната от нарушава...
30 ноември 2023

Катарската кибер агенция провежда национални уч...

Националната агенция за киберсигурност (NCSA) на Катар проверява си...
Бъдете социални
Още по темата
30/11/2023

Dollar Tree е жертва на нар...

Веригата дисконтови магазини Dollar Tree беше...
29/11/2023

Ирански хакери експлоатират...

Агенцията за киберсигурност и инфраструктура в...
28/11/2023

Хакери компрометираха чувст...

Rivers Casino Des Plaines е засегнато...
Последно добавени
04/12/2023

Рансъмуерът е безмилостен: ...

Не само, че броят на рансъмуерите...
03/12/2023

Свалянето на Qakbot: Смекча...

Министерството на правосъдието на САЩ и...
02/12/2023

Владимир Дунаев е осъден за...

Министерството на правосъдието на САЩ обяви,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!