Um ator de ameaças pouco conhecido, monitorado como GoldenJackal, foi vinculado a uma série de ataques cibernéticos visando embaixadas e organizações governamentais com o objetivo de infiltrar sistemas isolados (air-gapped) usando dois conjuntos de ferramentas (toolsets) distintos e personalizados.
Entre as vítimas incluíam-se uma embaixada do Sul da Ásia em Belarus e uma organização governamental da União Europeia (E.U.), conforme relatado pela empresa de cibersegurança eslovaca ESET.
"O objetivo final do GoldenJackal parece ser o roubo de informações confidenciais, especialmente de máquinas de alto perfil que podem não estar conectadas à internet", observou o pesquisador de segurança Matías Porolli em uma análise exaustiva.
GoldenJackal veio à tona em maio de 2023, quando a fornecedora de segurança russa Kaspersky detalhou os ataques do cluster de ameaças contra entidades governamentais e diplomáticas no Oriente Médio e Sul da Ásia.
As origens do adversário remontam a pelo menos 2019.
Uma característica importante das intrusões é o uso de um worm denominado JackalWorm, capaz de infectar drives USB conectados e entregar um trojan chamado JackalControl.
Embora não haja informações suficientes para vincular conclusivamente as atividades a uma ameaça específica de nação-estado, existe algum sobreposição tática com ferramentas maliciosas usadas em campanhas ligadas a Turla e MoustachedBouncer, este último também tendo como alvo embaixadas estrangeiras em Belarus.
A ESET disse que descobriu artefatos do GoldenJackal em uma embaixada do Sul da Ásia em Belarus em agosto e setembro de 2019, e novamente em julho de 2021.
Particularmente interessante é como o ator de ameaças também conseguiu implantar um conjunto de ferramentas totalmente reformulado entre maio de 2022 e março de 2024 contra uma entidade governamental da E.U.
“Com o nível de sofisticação necessário, é bastante incomum que em cinco anos, o GoldenJackal tenha conseguido construir e implantar não apenas um, mas dois conjuntos de ferramentas separados projetados para comprometer sistemas air-gapped”, destacou Porolli.
Isso fala da capacidade de recursos do grupo.
O ataque contra a embaixada do Sul da Ásia em Belarus teria feito uso de três famílias diferentes de malware, além de JackalControl, JackalSteal e JackalWorm:
- GoldenDealer, que é usado para entregar executáveis ao sistema air-gapped via drives USB comprometidos
- GoldenHowl, um backdoor modular com capacidades para roubar arquivos, criar tarefas agendadas, fazer upload/download de arquivos de e para um servidor remoto e criar um túnel SSH, e
- GoldenRobo, uma ferramenta de coleta de arquivos e exfiltração de dados
Os ataques visando a organização governamental não nomeada na Europa, por outro lado, foram encontrados contando com um conjunto inteiramente novo de ferramentas de malware escritas em Go.
Elas são projetadas para coletar arquivos de drives USB, espalhar malware via drives USB, exfiltrar dados e usar alguns servidores de máquinas como servidores de staging para distribuir payloads a outros hosts:
- GoldenUsbCopy e seu sucessor aprimorado GoldenUsbGo, que monitoram drives USB e copiam arquivos para exfiltração
- GoldenAce, que é usado para propagar o malware, incluindo uma versão leve de JackalWorm, para outros sistemas (não necessariamente aqueles que são air-gapped) usando drives USB
- GoldenBlacklist e sua implementação em Python GoldenPyBlacklist, que são projetadas para processar mensagens de e-mail de interesse para subsequente exfiltração
- GoldenMailer, que envia as informações roubadas para os atacantes via e-mail
- GoldenDrive, que faz o upload das informações roubadas para o Google Drive
Atualmente, não se sabe como o GoldenJackal consegue obter o comprometimento inicial para violar os ambientes-alvo.
No entanto, a Kaspersky anteriormente aludiu à possibilidade de instaladores de Skype trojanizados e documentos maliciosos do Microsoft Word como pontos de entrada.
GoldenDealer, já presente em um computador conectado à internet e entregue por um mecanismo ainda não determinado, entra em ação quando um drive USB é inserido, causando a si mesmo e a um componente desconhecido do worm a ser copiado para o dispositivo removível.
Suspeita-se que o componente desconhecido é executado quando o drive USB infectado é conectado ao sistema air-gapped, após o qual GoldenDealer salva informações sobre a máquina no drive USB.
Quando o dispositivo USB é inserido pela segunda vez na máquina conectada à internet mencionada, o GoldenDealer passa as informações armazenadas no drive para um servidor externo, que então responde com payloads apropriados para serem executados no sistema air-gapped.
O malware também é responsável por copiar os executáveis baixados para o drive USB.
Na última etapa, quando o dispositivo é conectado novamente ao sistema air-gapped, o GoldenDealer executa os executáveis copiados.
Por sua vez, o GoldenRobo também é executado no PC conectado à internet e está equipado para pegar os arquivos do drive USB e transmiti-los para o servidor controlado pelo atacante.
O malware, escrito em Go, recebe seu nome pelo uso de uma utilidade legítima do Windows chamada robocopy para copiar os arquivos.
A ESET disse que ainda não descobriu um módulo separado que cuide da cópia dos arquivos do computador air-gapped para o drive USB em si.
"Conseguir implantar dois conjuntos de ferramentas separados para violar redes air-gapped em apenas cinco anos mostra que GoldenJackal é um ator de ameaças sofisticado ciente da segmentação de rede usada por seus alvos", disse Porolli.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...