Kaspersky, 2020 yılının ortalarında GoldenJakal grubunu izlemeye başladı. Bu grup, yetenekli ve orta düzeyde gizlenme becerisine sahip bir tehdit aktörüne karşılık geliyor e tutarlı bir faaliyet akışı sergiliyor. Grubun temel özelliği, hedeflerinin bilgisayarları ele geçirmek, çıkarılabilir sürücüler aracılığıyla sistemler arasında yayılmak ve belirli dosyaları çalmak. Bu da tehdit aktörünün ana amaçlarının casusluk olduğunu gösteriyor.
Kaspersky'nin araştırmasına göre, tehdit aktörü saldırıları için ilk vektörler olarak sahte Skype yükleyicileri ve zararlı Word belgelerini kullanıyor. Sahte Skype yükleyicisi yaklaşık 400 MB boyutunda çalıştırılabilir bir dosyadan oluşuyor ve içinde JackalControl Truva atı ve yasal bir Skype Kurumsal yükleyicisi yer alıyor. Bu aracın ilk kullanımı 2020 yılına kadar uzanıyor. Başka bir bulaşma vektörü de Follina güvenlik açığından yararlanan, amaca yönelik bir HTML sayfasını indirmek için uzaktan şablon ekleme tekniğini kullanan kötü amaçlı bir belgeye dayanıyor.
Belge, "Gallery of Officers Who Have Received National and Foreign Awards.docx" adını taşıyor ve Pakistan hükümeti tarafından ödüllendirilen subaylar hakkında bilgi talep eden meşru bir genelgeymiş gibi görünüyor. Follina güvenlik açığına dair bilgi ilk olarak 29 Mayıs 2022'de paylaşıldı ve söz konusu belge kayıtlara göre açığın yayınlanmasından iki gün sonra, 1 Haziran'da değiştirildi. Belge ilk olarak 2 Haziran'da tespit edildi. Meşru ve güvenliği ihlal edilmiş bir web sitesinden harici bir nesne yükleyecek şekilde yapılandırılan belge harici nesneyi indirdikten sonra JackalControl Trojan kötü amaçlı yazılımını içeren çalıştırılabilir dosya başlatılıyor.
JackalControl saldırısı, uzaktan kontrol ediliyor
JackalControl saldırısı, saldırganlara hedef makineyi uzaktan kontrol etme imkanı sağlayan ana Truva atı olarak hizmet veriyor. Yıllar içinde, saldırganlar bu kötü amaçlı yazılımın farklı varyantlarını dağıtıyor. Bazı varyantlar, kalıcılığını sürdürebilmek için ek kodlar içermekteyken, diğerleri ise sisteme bulaşmadan çalışabilecek şekilde yapılandırılıyor. Makineler genellikle, toplu komut dosyaları gibi diğer bileşenler aracılığıyla enfekte ediliyor.
GoldenJackal grubu tarafından yaygın olarak kullanılan ikinci önemli araç JackalSteal adını taşıyor. Bu araç çıkarılabilir USB sürücüleri, uzak paylaşımlar ve hedeflenen sistemdeki tüm mantıksal sürücüleri izlemek için kullanılabiliyor. Kötü amaçlı yazılım standart bir işlem veya hizmet olarak çalışabiliyor. Ancak kalıcılığını koruyamıyor ve bu nedenle başka bir bileşen tarafından yüklenmesi gerekiyor.
Son olarak GoldenJackal, JackalWorm, JackalPerInfo ve JackalScreenWatcher gibi bir dizi ek araç kullanıyor. Bu araçlar Kaspersky araştırmacıları tarafından tanık olunan belirli durumlarda kullanılıyor. Bu araç seti, kurbanların makinelerini kontrol etmeyi, kimlik bilgilerini çalmayı, masaüstü ekran görüntülerini almayı amaçlıyor ve nihai hedef olarak casusluğa meyilli olduğunu belli ediyor.
Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Giampaolo Dedola, şunları söyledi:
"GoldenJackal, düşük profiliyle gözden uzak kalmaya çalışan ilginç bir APT aktörü. İlk olarak Haziran 2019'da faaliyete başlamasına rağmen gizli kalmayı başardılar. Gelişmiş bir kötü amaçlı yazılım araç setine sahip olan bu aktör, Orta Doğu ve Güney Asya'daki kamu ve diplomatik kuruluşlara yönelik saldırılarında oldukça üretken oldu. Kötü amaçlı yazılım yerleştirmelerinin bazıları hala geliştirme aşamasında olduğundan, siber güvenlik ekiplerinin bu aktör tarafından gerçekleştirilebilecek olası saldırılara dikkat etmeleri çok önemli. Analizimizin GoldenJackal'ın faaliyetlerini önlemeye yardımcı olacağını umuyoruz."
Hibya Haber Ajansı