Ameaça Cibernética: GoldenJackal e os Ataques a Sistemas Air-Gapped

Um ator de ameaça pouco conhecido, rastreado como GoldenJackal, está vinculado a uma série de ataques cibernéticos direcionados a embaixadas e organizações governamentais, com o objetivo de infiltrar sistemas air-gapped utilizando dois conjuntos de ferramentas distintos e sob medida.

Victimas e Alvo dos Ataques

Entre as vítimas estão uma embaixada do Sul da Ásia na Bielorrússia e uma organização do governo da União Europeia (E.U.), conforme relatado pela empresa de cibersegurança ESET.

“O objetivo final do GoldenJackal parece ser o roubo de informações confidenciais, especialmente de máquinas de alto perfil que podem não estar conectadas à internet”, observou o pesquisador de segurança Matías Porolli em uma análise detalhada.

Histórico e Evolução da Ameaça

O GoldenJackal foi mencionado pela primeira vez em maio de 2023, quando a empresa de segurança russa Kaspersky detalhou os ataques desse grupo a entidades governamentais e diplomáticas no Oriente Médio e no Sul da Ásia. As origens do adversário remontam a pelo menos 2019.

Uma característica importante das intrusões é o uso de um worm chamado JackalWorm, que é capaz de infectar pen drives conectados e entregar um trojan denominado JackalControl.

Características Táticas e Recursos

Embora haja informações insuficientes para vincular as atividades a uma ameaça específica de um estado-nação, há certa sobreposição tática com ferramentas maliciosas utilizadas em campanhas ligadas ao Turla e MoustachedBouncer, este último que também teve como alvo embaixadas estrangeiras na Bielorrússia.

Atividades Recentes do GoldenJackal

Descobertas da ESET

A ESET revelou que descobriu artefatos do GoldenJackal em uma embaixada do Sul da Ásia na Bielorrússia em agosto e setembro de 2019, e novamente em julho de 2021. De particular interesse é a maneira como o ator de ameaças também conseguiu implantar um conjunto de ferramentas completamente atualizado entre maio de 2022 e março de 2024 contra uma entidade governamental da E.U.

“Com o nível de sofisticação exigido, é bastante incomum que em cinco anos, o GoldenJackal tenha conseguido construir e implantar não uma, mas duas ferramentas separadas projetadas para comprometer sistemas air-gapped”, apontou Porolli. “Isso fala sobre a engenhosidade do grupo.”

Malware Utilizados nos Ataques

O ataque contra a embaixada do Sul da Ásia na Bielorrússia utilizou três famílias diferentes de malware, além do JackalControl, JackalSteal e JackalWorm, que incluem:

• GoldenDealer, utilizado para entregar executáveis ao sistema air-gapped via pen drives comprometidos.
• GoldenHowl, um backdoor modular com capacidades para roubar arquivos, criar tarefas agendadas, fazer upload/download de arquivos de e para um servidor remoto, e criar um túnel SSH.
• GoldenRobo, uma ferramenta de coleta de arquivos e exfiltração de dados.

Em contraste, os ataques direcionados à organização governamental não identificada na Europa encontraram um conjunto completamente novo de ferramentas de malware, a maior parte escrita em Go. Essas ferramentas são projetadas para coletar arquivos de pen drives, espalhar malware via pen drives, exfiltrar dados e usar alguns servidores de máquinas como servidores de preparação para distribuir payloads para outros hosts:

• GoldenUsbCopy e seu sucessor aprimorado GoldenUsbGo, que monitoram pen drives e copiam arquivos para exfiltração.
• GoldenAce, utilizado para propagar o malware, incluindo uma versão leve do JackalWorm, para outros sistemas (não necessariamente air-gapped) usando pen drives.
• GoldenBlacklist e sua implementação em Python GoldenPyBlacklist, projetadas para processar mensagens de e-mail de interesse para exfiltração posterior.
• GoldenMailer, que envia as informações roubadas para os atacantes via e-mail.
• GoldenDrive, que faz o upload das informações roubadas para o Google Drive.

Atualmente, não se sabe como o GoldenJackal consegue obter a primeira comprovação para violar ambientes-alvo. No entanto, a Kaspersky já aludiu anteriormente à possibilidade de instaladores de Skype trojanizados e documentos do Microsoft Word maliciosos como pontos de entrada.

O GoldenDealer, que já está presente em uma máquina conectada à internet e entregue por um mecanismo ainda não determinado, entra em ação quando um pen drive é inserido, causando a si mesmo e a um componente de worm desconhecido serem copiados para o dispositivo removível.

Mecanismo de Exfiltração e Execução do Malware

Acredita-se que o componente desconhecido seja executado quando o pen drive infectado é conectado ao sistema air-gapped, após o qual o GoldenDealer salva informações sobre a máquina no pen drive.

Quando o dispositivo USB é inserido novamente na máquina conectada à internet, o GoldenDealer transmite as informações armazenadas no pen drive para um servidor externo, que em seguida responde com os payloads adequados a serem executados no sistema air-gapped.

O malware também é responsável por copiar os executáveis baixados para o pen drive. Na etapa final, quando o dispositivo é conectado novamente à máquina air-gapped, o GoldenDealer executa os executáveis copiados.

Por outro lado, o GoldenRobo também é executado no PC conectado à internet e é equipado para levar arquivos do pen drive e transmiti-los ao servidor controlado pelos atacantes. O malware, escrito em Go, recebeu esse nome devido ao uso de uma ferramenta legítima do Windows chamada robocopy para copiar os arquivos.

A ESET afirmou que ainda não descobriu um módulo separado que cuida da cópia de arquivos do computador air-gapped para o pen drive.

Conseguir implantar dois conjuntos separados de ferramentas para violar redes air-gapped em apenas cinco anos mostra que o GoldenJackal é um ator de ameaça sofisticado, consciente da segmentação de rede utilizada por suas alvos”, disse Porolli.

#Cibersegurança, #GoldenJackal, #Malware, #AirGapped, #AtaquesCibernéticos, #SegurançaDigital, #ESET, #Infosec

autor ref: The Hacker News
ref:https://thehackernews.com/2024/10/goldenjackal-target-embassies-and-air.html