Касперски је открио нову групу сајбер криминалаца. Иако је ова група под називом ГолденЈацкал активна од 2019. године, она нема јавни профил и остаје углавном мистериозна. Према информацијама добијеним истраживањем, група углавном циља на јавне и дипломатске организације на Блиском истоку и у јужној Азији.
Касперски је почео да надгледа групу ГолденЈакал средином 2020. Ова група одговара вештом актеру претњи са умереним вештинама прикривања и показује доследан ток активности. Главна карактеристика групе је да су њени циљеви отимање рачунара, ширење између система путем преносивих дискова и крађа одређених датотека. Ово показује да је главни циљ актера претње шпијунажа.
Према истраживању компаније Касперски, актер претње користи лажне програме за инсталацију Скипе-а и злонамерне Ворд документе као почетне векторе за своје нападе. Лажни програм за инсталацију Скипе-а састоји се од извршне датотеке величине приближно 400 МБ и садржи ЈацкалЦонтрол тројанац и легитимни програм за инсталацију Скипе-а за посао. Прва употреба овог алата датира из 2020. године. Други вектор заразе је заснован на злонамерном документу који искоришћава пропустљивост Фоллина, користећи технику даљинског шаблонирања за преузимање циљане ХТМЛ странице.
Документ носи наслов „Галерија официра који су добили националне и стране награде.доцк“ и чини се да је легитиман циркулар у коме се траже информације о официрима које је наградила пакистанска влада. Информација о рањивости Фоллина први пут је подељена 29. маја 2022. године, а предметни документ је измењен 1. јуна, два дана након што је рањивост објављена, према евиденцији. Документ је први пут примећен 2. јуна. Конфигурисан за учитавање спољног објекта са легитимне, угрожене веб локације, документ покреће извршни фајл који садржи ЈацкалЦонтрол тројански малвер након преузимања спољног објекта.
ЈацкалЦонтрол напад се контролише даљински
Напад ЈацкалЦонтрол служи као главни тројанац који омогућава нападачима да даљински контролишу циљну машину. Током година, нападачи су дистрибуирали различите варијанте овог малвера. Док неке варијанте садрже додатне кодове за одржавање њихове трајности, друге су конфигурисане да раде без инфицирања система. Машине се често инфицирају преко других компоненти као што су пакетне скрипте.
Други важан алат који нашироко користи ГолденЈацкал група се зове ЈацкалСтеал. Овај алат се може користити за надгледање преносивих УСБ дискова, удаљених дељења и свих логичких дискова на циљаном систему. Малвер може да ради као стандардни процес или услуга. Међутим, не може да одржи постојаност и стога га треба учитати друга компонента.
Коначно, ГолденЈацкал користи бројне додатне алате као што су ЈацкалВорм, ЈацкалПерИнфо и ЈацкалСцреенВатцхер. Ови алати се користе у специфичним ситуацијама о којима сведоче Касперски истраживачи. Овај комплет алата има за циљ да контролише машине жртава, краде акредитиве, прави снимке екрана на радној површини и очигледно је наклоњен шпијунажи као крајњем циљу.
Ђампаоло Дедола, виши истраживач безбедности у Касперски тиму за глобално истраживање и анализу (ГРеАТ), рекао је:
„ГолденЈацкал је занимљив АПТ глумац који покушава да остане испод радара ниског профила. Иако су први пут почели са радом у јуну 2019. године, успели су да остану тајна. Овај актер, који има напредни алат за малвер, био је веома плодан у својим нападима на јавне и дипломатске организације на Блиском истоку и у Јужној Азији. Пошто су неке од имплементација злонамерног софтвера још увек у развоју, кључно је да тимови за сајбер безбедност пазе на могуће нападе овог актера. Надамо се да ће наша анализа помоћи у спречавању активности ГолденЈацкала.