The Hacker News 网站披露,一个名为 GoldenJackal 的 APT 团伙正以中东和南亚的政府、外交等实体组织为目标,开展大规模网络攻击活动。
俄罗斯网络安全公司卡巴斯基表示自 2020 年年中以来一直在密切关注 Golden Jackal 组织的活动,其目标范围主要集中在阿富汗、阿塞拜疆、伊朗、伊拉克、巴基斯坦和土耳其等国,团伙成员除了使用定制的恶意软件感染受害者窃取数据,还通过可移动驱动器在系统中传播,并进行持续监视。
GoldenJackal 疑似与 APT 组织 Turla 有联系
尽管业内人士对 GoldenJackal 团伙知之甚少,但不少人都怀疑其已经活跃了至少四年时间,卡巴斯基指出目前尚无法确定其来源以及与知名黑客组织者的关系,但从其作案手法来看,带有强烈的间谍动机。更重要的是,GoldenJackal 团伙还一直试图保持低调,这样的举动符合具有国家背景黑客团体的所有特征。
研究人员在 GoldenJackal 和疑似俄罗斯背景的 APT 组织 Turla 之间已经观察到了一些战术上的重叠。在一个案例中,一台受害者的机器被 Turla 和 GoldenJackal 感染的时间仅仅相差两个月。目前,虽然不知道用于入侵目标计算机的确切初始路径尚不清楚,但迄今为止收集的证据表明攻击者使用了被黑客入侵的 Skype 安装程序和恶意 Microsoft Word 文档。
安装程序充当了传递名为 JackalControl 的基于.NET 的特洛伊木马的渠道。此外,有人观察到 Word 文件将Follina漏洞(CVE-2022-30190)武器化,以删除相同的恶意软件。
顾名思义,JackalControl 使攻击者能够远程征用机器,执行任意命令,以及从系统上传和下载到系统。
受害目标的地理位置分布
GoldenJackal部署的其它一些恶意软件如下:
- JackalSteal: 一种植入物,用于寻找感兴趣的文件,包括位于可移动 USB 驱动器中的文件,并将它们传输到远程服务器。
- JackalWorm:一种蠕虫病毒,被设计用来感染使用可移动 USB 驱动器的系统,并安装 JackalControl 木马。
- JackalPerInfo:一种恶意软件,具有收集系统元数据、文件夹内容、已安装的应用程序和正在运行的进程,以及存储在网络浏览器数据库中凭证的功能。
- JackalScreenWatcher:一个根据预设时间间隔抓取屏幕截图并将其发送到攻击者控制的服务器的实用程序。
GoldenJackal 团伙另一个值得注意的是它依靠被黑的 WordPress 网站作为中转站,通过注入网站的流氓PHP 文件,将网络请求转发到实际的命令和控制(C2)服务器上。
最后,卡巴斯基研究员 Giampaolo Dedola 强调:GoldenJackal 团伙的工具包似乎还在持续开发中,变种的数量增加表明他们仍在追加“投资”,但该组织可能正试图通过限制受害者的数量来降低其知名度。
参考文章:https://thehackernews.com/2023/05/goldenjackal-new-threat-group-targeting.html