خاورمیانه و ایران، هدف یک تهدید دائمی پیشرفته به نام GoldenJackal

دولت و نهادهای دیپلماتیک در خاورمیانه و جنوب آسیا هدف تهدید یک تهدید دائمی پیشرفته به نام GoldenJackal هستند. شرکت امنیت سایبری روسی کسپرسکی که از اواسط سال ۲۰۲۰ فعالیت های این گروه را زیر نظر داشت، این عامل را قدرتمند و پنهانکار توصیف کرد. دامنه هدف‌گیری این کمپین بر افغانستان، آذربایجان، ایران، عراق، پاکستان و ترکیه متمرکز شده است و قربانیان را با بدافزارهایی آلوده می‌کند که داده‌ها را می‌دزدند، از طریق درایوهای قابل جابجایی در سراسر سیستم‌ها پخش می‌شوند و نظارت را انجام می‌دهند.

به نظر می‌رسد که GoldenJackal حداقل به مدت چهارسال فعال بوده است، اگرچه اطلاعات کمی در مورد این گروه وجود دارد. کسپرسکی گفت که قادر به تعیین منشأ یا وابستگی آن به عوامل تهدید شناخته شده نیست، اما روش عملیاتی این عامل، به اهداف جاسوسی اشاره دارد. علاوه بر این، تلاش‌های عامل تهدید برای مخفی شدن در سایه‌ و جلب توجه نکردن، همه ویژگی‌های یک گروه تحت حمایت دولت را دارد.

گفته می‌شود برخی از همپوشانی‌های تاکتیکی بین عامل تهدید و Turla، یکی از گروه‌های هکر ملی روسیه مشاهده شده است. در یک حالت، سیستم یک قربانی به فاصله دو ماه از هم، توسط Turla و GoldenJackal آلوده شد.

مسیر اولیه دقیقی که برای نفوذ به رایانه‌های هدفمند استفاده می‌شود در این مرحله ناشناخته است، اما شواهد جمع‌آوری‌شده تاکنون حاکی از استفاده از نصب‌کننده‌های تروجان‌شده Skype و اسناد مخرب Microsoft Word است. در حالی که نصب‌کننده به عنوان یک مسیر برای ارائه یک تروجان مبتنی بر NET. به نام JackalControl عمل می‌کند، فایل‌های Word مشاهده شده، استفاده از آسیب‌پذیری Follina (CVE-2022-30190) را برای رها کردن همان نرم‌افزار مخرب به کار می‌برند.

JackalControl همانطور که از نامش مشخص است، مهاجمان را قادر می‌سازد تا از راه دور دستگاه را کنترل کنند، دستورات دلخواه را اجرا کنند و همچنین عملیات آپلود و دانلود را از سیستم انجام دهد.

برخی از خانواده‌های بدافزار دیگر مستقر شده توسط GoldenJackal به شرح زیر است:

• JackalSteal – ایمپلنتی که برای یافتن فایل های مورد علاقه، از جمله مواردی که در درایوهای USB قابل جابجایی قرار دارند، و انتقال آنها به یک سرور راه دور استفاده می شود.
• JackalWorm – کرمی که برای آلوده کردن سیستم ها با استفاده از درایوهای USB قابل جابجایی و نصب تروجان JackalControl مهندسی شده است.
• JackalPerInfo – بدافزاری که دارای ویژگی‌هایی برای جمع‌آوری ابرداده‌های سیستم، محتویات پوشه، برنامه‌های کاربردی نصب‌شده و فرآیندهای در حال اجرا، و اعتبارنامه‌های ذخیره‌شده در پایگاه‌های داده مرورگر وب است.
• JackalScreenWatcher – ابزاری برای گرفتن اسکرین‌شات‌ها بر اساس بازه زمانی از پیش تعیین شده و ارسال آنها به یک سرور تحت کنترل بازیگر.

یکی دیگر از جنبه‌های قابل توجه عامل تهدید، تکیه آن به سایت های وردپرس هک شده به عنوان یک رله برای ارسال درخواست های وب به سرور واقعی فرمان و کنترل (C2) با استفاده از یک فایل PHP مخرب است که به وب‌سایت‌ها تزریق می‌شود.

Giampaolo Dedola، محقق کسپرسکی گفت: این گروه احتمالاً در تلاش است تا با محدود کردن تعداد قربانیان، قابلیت دیدپذیری خود  را کاهش دهد. به نظر می‌رسد که ابزار مورد استفاده آن‌ها در حال توسعه است و تعداد نسخه‌های آن نشان می‌دهد که هنوز بر روی آن سرمایه‌گذاری انجام می‌شود.