カスペルスキーは新たなサイバー犯罪グループを発見しました。 GoldenJackalと呼ばれるこのグループは2019年から活動を続けているが、公の場での知名度はなく、ほとんどが謎のままだ。調査で得られた情報によると、このグループは主に中東と南アジアの公的機関や外交機関をターゲットにしている。

Kaspersky は、2020 年半ばに GoldenJakal の監視を開始しました。このグループは、熟練した適度に隠蔽された攻撃者に相当し、一貫した活動の流れを示します。このグループの主な特徴は、そのターゲットがコンピュータをハイジャックし、リムーバブルドライブを介してシステム間で拡散し、特定のファイルを盗むことであるということです。これは、脅威アクターの主な目的がスパイ行為であることを示しています。

カスペルスキーの調査によると、攻撃者は偽の Skype インストーラーと悪意のある Word ドキュメントを攻撃の最初のベクトルとして使用します。偽の Skype インストーラーは約 400 MB の実行可能ファイルで構成され、JackalControl トロイの木馬と正規の Skype for Business インストーラーが含まれています。このツールが初めて使用されたのは 2020 年に遡ります。別の感染ベクトルは、リモートテンプレートインジェクション技術を使用して専用の HTML ページをダウンロードする、Follina の脆弱性を悪用する悪意のあるドキュメントに基づいています。

この文書のタイトルは「国内外の賞を受賞した将校のギャラリー.docx」で、パキスタン政府から授与された将校に関する情報を要求する正規の回覧のようです。記録によると、Follina 脆弱性に関する情報は 29 年 2022 月 1 日に初めて共有され、文書は脆弱性公開の 2 日後の XNUMX 月 XNUMX 日に変更されました。この文書はXNUMX月XNUMX日に初めて発見された。正規の侵害された Web サイトから外部オブジェクトをロードするように構成された外部ドキュメントオブジェクトをダウンロードした後、JackalControl トロイの木馬マルウェアを含む実行可能ファイルを起動します。

JackalControl 攻撃、遠隔操作

JackalControl 攻撃は、攻撃者がターゲットマシンをリモートで制御できるようにする主要なトロイの木馬として機能します。攻撃者は長年にわたり、このマルウェアのさまざまな亜種を配布してきました。永続性を維持するために追加のコードが含まれている亜種もあれば、システムに感染せずに動作するように構成されている亜種もあります。マシンは、バッチスクリプトなどの他のコンポーネントを通じて感染することがよくあります。

GoldenJackal グループによって広く使用されている XNUMX 番目の重要なツールは、JackalSteal です。このツールを使用すると、リムーバブル USB ドライブ、リモート共有、および対象システム上のすべての論理ドライブを監視できます。マルウェアは標準のプロセスまたはサービスとして実行できます。ただし、永続性を維持できないため、別のコンポーネントによってロードする必要があります。

最後に、GoldenJackal は、JackalWorm、JackalPerInfo、JackalScreenWatcher などの多くの追加ツールを使用します。これらのツールは、カスペルスキーの研究者が目撃した特定の状況で使用されています。このツールキットは、被害者のマシンを制御し、資格情報を盗み、デスクトップのスクリーンショットを撮り、最終的なターゲットとしてスパイ行為の傾向を示すことを目的としています。

カスペルスキーグローバル調査分析チーム (GReAT) の上級セキュリティ研究員であるジャンパオロデドラ氏は次のように述べています。

「GoldenJackal は、目立たないように努めている興味深い APT アクターです。 2019年XNUMX月に初めて活動を開始したにもかかわらず、彼らはなんとか隠れ続けてきました。この攻撃者は、高度なマルウェアツールキットを使用して、中東および南アジアの公的機関や外交機関に対する攻撃を非常に頻繁に行っています。一部のマルウェア埋め込みはまだ開発中であるため、サイバーセキュリティチームはこの攻撃者による攻撃の可能性に常に注意を払うことが重要です。私たちの分析が GoldenJackal の活動を阻止するのに役立つことを願っています。」