دولت و نهادهای دیپلماتیک در خاورمیانه و جنوب آسیا هدف تهدید یک تهدید دائمی پیشرفته به نام GoldenJackal هستند. شرکت امنیت سایبری روسی کسپرسکی که از اواسط سال ۲۰۲۰ فعالیت های این گروه را زیر نظر داشت، این عامل را قدرتمند و پنهانکار توصیف کرد. دامنه هدفگیری این کمپین بر افغانستان، آذربایجان، ایران، عراق، پاکستان و ترکیه متمرکز شده است و قربانیان را با بدافزارهایی آلوده میکند که دادهها را میدزدند، از طریق درایوهای قابل جابجایی در سراسر سیستمها پخش میشوند و نظارت را انجام میدهند.
به نظر میرسد که GoldenJackal حداقل به مدت چهارسال فعال بوده است، اگرچه اطلاعات کمی در مورد این گروه وجود دارد. کسپرسکی گفت که قادر به تعیین منشأ یا وابستگی آن به عوامل تهدید شناخته شده نیست، اما روش عملیاتی این عامل، به اهداف جاسوسی اشاره دارد. علاوه بر این، تلاشهای عامل تهدید برای مخفی شدن در سایه و جلب توجه نکردن، همه ویژگیهای یک گروه تحت حمایت دولت را دارد.
گفته میشود برخی از همپوشانیهای تاکتیکی بین عامل تهدید و Turla، یکی از گروههای هکر ملی روسیه مشاهده شده است. در یک حالت، سیستم یک قربانی به فاصله دو ماه از هم، توسط Turla و GoldenJackal آلوده شد.
مسیر اولیه دقیقی که برای نفوذ به رایانههای هدفمند استفاده میشود در این مرحله ناشناخته است، اما شواهد جمعآوریشده تاکنون حاکی از استفاده از نصبکنندههای تروجانشده Skype و اسناد مخرب Microsoft Word است. در حالی که نصبکننده به عنوان یک مسیر برای ارائه یک تروجان مبتنی بر NET. به نام JackalControl عمل میکند، فایلهای Word مشاهده شده، استفاده از آسیبپذیری Follina (CVE-2022-30190) را برای رها کردن همان نرمافزار مخرب به کار میبرند.
JackalControl همانطور که از نامش مشخص است، مهاجمان را قادر میسازد تا از راه دور دستگاه را کنترل کنند، دستورات دلخواه را اجرا کنند و همچنین عملیات آپلود و دانلود را از سیستم انجام دهد.
برخی از خانوادههای بدافزار دیگر مستقر شده توسط GoldenJackal به شرح زیر است:
- JackalSteal – ایمپلنتی که برای یافتن فایل های مورد علاقه، از جمله مواردی که در درایوهای USB قابل جابجایی قرار دارند، و انتقال آنها به یک سرور راه دور استفاده می شود.
- JackalWorm – کرمی که برای آلوده کردن سیستم ها با استفاده از درایوهای USB قابل جابجایی و نصب تروجان JackalControl مهندسی شده است.
- JackalPerInfo – بدافزاری که دارای ویژگیهایی برای جمعآوری ابردادههای سیستم، محتویات پوشه، برنامههای کاربردی نصبشده و فرآیندهای در حال اجرا، و اعتبارنامههای ذخیرهشده در پایگاههای داده مرورگر وب است.
- JackalScreenWatcher – ابزاری برای گرفتن اسکرینشاتها بر اساس بازه زمانی از پیش تعیین شده و ارسال آنها به یک سرور تحت کنترل بازیگر.
یکی دیگر از جنبههای قابل توجه عامل تهدید، تکیه آن به سایت های وردپرس هک شده به عنوان یک رله برای ارسال درخواست های وب به سرور واقعی فرمان و کنترل (C2) با استفاده از یک فایل PHP مخرب است که به وبسایتها تزریق میشود.
Giampaolo Dedola، محقق کسپرسکی گفت: این گروه احتمالاً در تلاش است تا با محدود کردن تعداد قربانیان، قابلیت دیدپذیری خود را کاهش دهد. به نظر میرسد که ابزار مورد استفاده آنها در حال توسعه است و تعداد نسخههای آن نشان میدهد که هنوز بر روی آن سرمایهگذاری انجام میشود.