Este grupo de hackers está atacando sigilosamente gobiernos desde 2019
Un grupo de amenazas persistentes avanzadas (APT) relativamente desconocido llamado ‘GoldenJackal’ ha estado apuntando a entidades gubernamentales y diplomáticas en Asia desde 2019 por espionaje.
Los atacantes han mantenido un perfil bajo por sigilo, seleccionando cuidadosamente a sus víctimas y manteniendo la cantidad de ataques al mínimo. Esto para reducir la probabilidad de exposición.
Kaspersky ha estado rastreando a GoldenJackal desde 2020 y hoy reportó que los atacantes han tenido una actividad notable en Afganistán, Azerbaiyán, Irán, Irak, Pakistán y Turquía.
“GoldenJackal es un grupo APT, activo desde 2019, que generalmente se dirige a entidades gubernamentales y diplomáticas en el Medio Oriente y el sur de Asia”.
“A pesar de que comenzaron sus actividades hace años, este grupo es generalmente desconocido y, hasta donde sabemos, no ha sido descrito públicamente”.
Explicación de Kaspersky
Los vectores de infección de la APT son desconocidos. Sin embargo, los investigadores han observado indicios de operaciones de phishing con documentos maliciosos que emplean la técnica de inyección remota de plantillas para explotar la vulnerabilidad de Microsoft Office, Follina.
Además, Kaspersky ha visto un caso de instaladores troyanizados de ‘Skype for Business’ que colocan un troyano junto con una copia legítima del software.
Si bien los analistas de Kaspersky han notado similitudes de código y TTP (técnicas, tácticas y procedimientos) con Turla, rastrean a GoldenJackal como un grupo de actividades separado.
Rico conjunto de herramientas personalizadas de ‘Jackal’
Según Kaspersky, GoldenJackal emplea un conjunto de herramientas de malware .NET personalizadas que brindan varias funciones, incluido la recuperación de credenciales, el robo de datos, la carga de malware, el movimiento lateral, la exfiltración de archivos y más.
El payload principal que se usa primero para infectar un sistema es ‘JackalControl’, que les da a los atacantes control remoto sobre la computadora infectada.
El malware se puede ejecutar como un programa o un servicio de Windows. Pero eso no es todo, además puede establecer la persistencia agregando claves de registro, tareas programadas de Windows o servicios de Windows.
Recibe comandos codificados del servidor de comando y control (C2) a través de solicitudes HTTP POST. Estas se refieren a la ejecución de programas arbitrarios, la exfiltración de archivos o la obtención de payloads adicionales del C2.
La segunda herramienta utilizada por los hackers es ‘JackalSteal’, un implante dedicado a la exfiltración de datos de todas las unidades lógicas en la computadora comprometida, incluidos los recursos compartidos remotos e incluso las unidades USB recién conectadas.
Los atacantes pueden ejecutar el malware con argumentos que determinen los tipos de archivos objetivo, las rutas, los tamaños, cuándo se usaron los archivos por última vez y excluir rutas específicas que las herramientas de seguridad podrían monitorear.
Todos los archivos que coinciden con los parámetros establecidos se cifran mediante AES, RSA o DES, luego se comprimen con GZIP y finalmente se envían al servidor C2.
Más herramientas
La tercera herramienta en el arsenal de GoldenJackal es ‘JackalWorm’, que infecta unidades USB para propagarse a otras computadoras potencialmente valiosas.
“Cuando el malware detecta un dispositivo de almacenamiento USB extraíble, se copia en él”.
“Crea una copia de sí mismo en la raíz de la unidad con el mismo nombre de directorio y cambia el atributo del directorio a “oculto”. Esto da como resultado que el directorio real se oculte y se reemplace con una copia del malware con el nombre del directorio”.
Informe de Kaspersky
Para ofuscar su naturaleza y engañar a la víctima para que lo ejecute, ‘JackalWorm’ utiliza un icono de directorio de Windows en la unidad extraíble.
Si eso sucede, el gusano infecta el sistema host, establece la persistencia creando una tarea programada y luego borra su copia de la unidad USB.
La cuarta herramienta utilizada por Golden Jackal APT es ‘JacklPerInfo’, un recopilador básico de información del sistema con las capacidades adicionales de identificar y filtrar el historial de navegación y las credenciales almacenadas en los navegadores web.
JacklPerInfo, que actúa como un malware ladrón de información típico, también puede extraer archivos de los directorios Escritorio, Documentos, Descargas y AppData\Roaming\Microsoft\Windows\Recent.
La quinta y última herramienta de malware presentada en el informe de Kaspersky es ‘JackalScreenWatcher’, que se utiliza para tomar capturas de pantalla en el dispositivo infectado.
Los operadores pueden especificar la resolución y los intervalos de tiempo de captura de imágenes, y la herramienta envía los archivos multimedia al C2 a través de solicitudes HTTP POST en forma de payloads cifrados.
Grupo sigiloso
En conclusión, GoldenJackal ha estado utilizando cuidadosamente un amplio conjunto de herramientas personalizadas contra un número limitado de víctimas para llevar a cabo lo que Kaspersky cree que son operaciones de espionaje a largo plazo.
Aunque se conocen pocas cosas sobre las tácticas operativas de la APT, la diversidad en las cadenas de infección observadas combinadas con herramientas de malware altamente capaces, no deja dudas de que se trata de un grupo sofisticado.