Un groupe de menace persistante avancée (APT) relativement inconnu nommé «GoldenJackal» cible des entités gouvernementales et diplomatiques en Asie depuis 2019 à des fins d’espionnage.
Les acteurs de la menace ont maintenu un profil bas pour la furtivité, en sélectionnant soigneusement leurs victimes et en maintenant le nombre d’attaques au minimum pour réduire la probabilité d’exposition.
Kaspersky suit GoldenJackal depuis 2020 et rapporte aujourd’hui que les acteurs de la menace ont eu une activité notable en Afghanistan, en Azerbaïdjan, en Iran, en Irak, au Pakistan et en Turquie.
« GoldenJackal est un groupe APT, actif depuis 2019, qui cible généralement les entités gouvernementales et diplomatiques au Moyen-Orient et en Asie du Sud », explique Kaspersky.
« Malgré le fait qu’ils ont commencé leurs activités il y a des années, ce groupe est généralement inconnu et, à notre connaissance, n’a pas été décrit publiquement. »
Les vecteurs d’infection de l’APT sont inconnus. Cependant, les chercheurs ont observé des signes d’opérations de phishing avec des documents malveillants qui utilisent la technique d’injection de modèles à distance pour exploiter la vulnérabilité Microsoft Office Follina.
De plus, Kaspersky a été témoin d’un cas d’installateurs « Skype for Business » troyens qui déposent un cheval de Troie à côté d’une copie légitime du logiciel.
Alors que les analystes de Kaspersky ont remarqué des similitudes de code et de TTP (techniques, tactiques et procédures) avec Turla, ils suivent GoldenJackal en tant que cluster d’activités distinct.
Riche ensemble d’outils personnalisés « Chacal »
Selon Kaspersky, GoldenJackal utilise un ensemble d’outils de logiciels malveillants .NET personnalisés qui fournissent diverses fonctions, notamment le vidage des informations d’identification, le vol de données, le chargement de logiciels malveillants, le mouvement latéral, l’exfiltration de fichiers, etc.
La charge utile principale utilisée en premier pour infecter un système est « JackalControl », qui donne aux attaquants le contrôle à distance de l’ordinateur infecté.
Le logiciel malveillant peut être exécuté en tant que programme ou service Windows et peut établir une persistance en ajoutant des clés de registre, des tâches planifiées Windows ou des services Windows.
Il reçoit des commandes codées du serveur C2 via des requêtes HTTP POST, qui concernent l’exécution de programmes arbitraires, l’exfiltration de fichiers ou la récupération de charges utiles supplémentaires à partir du C2.
Le deuxième outil utilisé par les pirates est « JackalSteal », un implant dédié à l’exfiltration des données de tous les lecteurs logiques de l’ordinateur compromis, y compris les partages distants et même les clés USB nouvellement connectées.
Les attaquants peuvent exécuter le voleur avec des arguments déterminant les types de fichiers ciblés, les chemins, les tailles, la dernière utilisation des fichiers et exclure des chemins spécifiques que les outils de sécurité pourraient surveiller.
Tous les fichiers correspondant aux paramètres définis sont chiffrés à l’aide d’AES, RSA ou DES, puis compressés avec GZIP et finalement transmis au serveur C2.
Le troisième outil de l’arsenal de GoldenJackal est « JackalWorm », qui infecte les clés USB pour se propager sur d’autres ordinateurs potentiellement précieux.
« Lorsque le logiciel malveillant détecte un périphérique de stockage USB amovible, il se copie dessus », lit-on dans le rapport de Kaspersky.
« Il créera une copie de lui-même sur la racine du lecteur en utilisant le même nom de répertoire et changera l’attribut du répertoire en « caché ». Cela entraînera le masquage du répertoire réel et son remplacement par une copie du logiciel malveillant avec le nom du répertoire. »
Pour obscurcir sa nature et inciter la victime à l’exécuter, ‘JackalWorm’ utilise une icône de répertoire Windows sur le lecteur amovible.
Si cela se produit, le ver infectera le système hôte, établira la persistance en créant une tâche planifiée, puis effacera sa copie de la clé USB.
Le quatrième outil utilisé par le Golden Jackal APT est « JacklPerInfo », un collecteur d’informations système de base avec des capacités supplémentaires d’identification et d’exfiltration de l’historique de navigation et des informations d’identification stockées dans les navigateurs Web.
Servant comme un malware voleur d’informations typique, JacklPerInfo peut également exfiltrer des fichiers des répertoires Desktop, Documents, Downloads et AppData\Roaming\Microsoft\Windows\Recent.
Le cinquième et dernier outil malveillant présenté dans le rapport de Kaspersky est le « JackalScreenWatcher », qui est utilisé pour prendre des captures d’écran sur l’appareil infecté.
Les opérateurs peuvent spécifier la résolution et les intervalles de temps de capture d’image, et l’outil enverra le média au C2 via des requêtes HTTP POST sous la forme de charges utiles cryptées.
En conclusion, GoldenJackal a soigneusement utilisé un ensemble complet d’outils personnalisés contre un nombre limité de victimes pour mener à bien ce que Kaspersky considère comme des opérations d’espionnage à long terme.
Bien que peu de choses soient connues sur les tactiques opérationnelles de l’APT, la diversité des chaînes d’infection observées combinée à des outils malveillants hautement performants ne laisse aucun doute sur le fait qu’il s’agit d’un acteur de menace sophistiqué.