Thought Leadership
Kaspersky hat eine neue APT-Gruppe namens GoldenJackal entdeckt, die zwar bereits seit dem Jahr 2019 aktiv ist, jedoch bislang weitgehend unentdeckt geblieben ist. Wie die Untersuchung von Kaspersky zeigt, zielt die Gruppe in erster Linie auf staatliche und diplomatische Einrichtungen im Nahen Osten und Südasien ab.
Seit bereits Mitte des Jahres 2020 beobachtet Kaspersky die Aktivitäten des geschickten und moderat unauffälligen Bedrohungsakteurs. Die APT-Gruppe zeichnet sich durch ein spezielles Toolset aus, mit dem sie die Rechner ihrer Opfer kontrolliert, sich mit Hilfe von Wechsellaufwerken über Systeme verbreitet und bestimmte Dateien von dort extrahieren kann. Die Funktionalitäten deuten darauf hin, dass die Hauptmotivation des Akteurs Spionage ist.
Falsche Skype-Installationsprogramme und schädliche Word-Dokumente als Ausgangsvektoren für Angriffe
Wie Untersuchungen von Kaspersky ergaben, nutzte der APT-Akteur gefälschte Skype-Installationsprogramme und schädliche Word-Dokumente als initiale Angriffsvektoren. Beim gefälschten Skype-Installationsprogramm handelte es sich um eine ausführbare Datei mit einer Größe von etwa 400 MB. Diese bestand aus einem Dropper mit zwei Ressourcen: den JackalControl-Trojaner und ein legitimes Skype-for-Business-Installationsprogramm. Der erste Einsatz dieses Tools konnte in das Jahr 2020 zurückverfolgt werden.
Als weiterer Infektionsvektor diente ein schädliches Dokument, das als Technik Remote-Template-Injection- nutzt, um eine schädliche HTML-Seite herunterzuladen; dieses wiederum nutzt die Follina-Schwachstelle gezielt aus. Dieses Dokument mit dem Namen „Gallery of Officers Who Have Received National and Foreign Awards.docx“ ähnelt auf den ersten Blick einem legitimen Rundschreiben, in dem Informationen über Offiziere angefordert werden, die von der pakistanischen Regierung ausgezeichnet wurden. Am 29. Mai 2022 wurde die erste Beschreibung der Follina-Schwachstelle veröffentlicht. Zwei Tage darauf, am 1. Juni wurde das Dokument modifiziert und am 2. Juni 2022 erstmals entdeckt.
Das Dokument wurde so konfiguriert, dass es ein externes Objekt von einer legitimen und kompromittierten Website lädt. Sobald dieses heruntergeladen ist, wird die ausführbare Datei gestartet, die den JackalControl-Trojaner enthält. Dieser ermöglicht es den Angreifern, Zielcomputer über eine Reihe vordefinierter und unterstützter Befehle fernzusteuern. Über die Jahre hinweg haben die Cyberkriminellen verschiedene Varianten dieser Malware verbreitet: Einige enthalten einen Code, der die Malware lokal befällt, andere wurden so konfiguriert, dass sie ausgeführt werden, ohne das System zu infizieren. In der Regel wird der Rechner durch andere Komponenten infiziert, beispielsweise durch ein Batch-Skript.
Weitere Spionage-Tools von GoldenJackal: JackalSteal, JackalWorm, JackalPerInfo und JackalScreenWatcher
Das zweitwichtigste Tool der APT-Gruppe ist JackalSteal. Damit können USB-Wechsellaufwerke, Remote-Freigaben und alle Laufwerke im Zielsystem überwacht werden. Die Malware kann als Standardprozess oder als eigener Dienst ausgeführt werden. Allerdings kann sie nicht dauerhaft aktiv sein, weshalb sie von einer anderen Komponente installiert werden muss.
Darüber hinaus nutzt GoldenJackal eine Reihe zusätzlicher Tools, wie JackalWorm, JackalPerInfo und JackalScreenWatcher. Dieses Toolset wurde in bestimmten, von Kaspersky-Forschern beobachteten Fällen eingesetzt und zielt darauf ab, die Rechner der Opfer zu kontrollieren, ihre Anmeldedaten zu stehlen oder auch Screenshots des Desktops anzufertigen.
„GoldenJackal ist ein interessanter APT-Akteur, der versucht, möglichst unauffällig zu bleiben. Obwohl er seine Aktivitäten bereits im Juni 2019 aufnahm, ist es ihm gelungen, lange unentdeckt zu bleiben“, kommentiert Giampaolo Dedola, Sicherheitsexperte beim Global Research & Analysis Team (GReAT) von Kaspersky. „Die APT-Gruppe verfügt über ein fortschrittliches Malware-Toolset, das sie häufig bei Angriffen auf Regierungs- und Behördeneinrichtungen im Nahen Osten und in Südasien eingesetzt haben. Da sich manche der Malware-Implantate noch in der Entwicklungsphase befinden, sollten Cybersicherheitsteams unbedingt auf mögliche Angriffe durch diesen Bedrohungsakteur achten. Wir hoffen, dass unsere Analyse dazu beiträgt, Angriffe von GoldenJackal zu verhindern.“
www.kaspersky.de
