Un groupe de piratage APT connu sous le nom de GoldenJackal a réussi à pirater des systèmes gouvernementaux en Europe en utilisant deux ensembles d’outils personnalisés pour voler des données sensibles, telles que des courriels, des clés de cryptage, des images, des archives et des documents.

Selon un rapport d’ESET, cela s’est produit au moins deux fois, l’une contre l’ambassade d’un pays d’Asie du Sud en Biélorussie en septembre 2019 et à nouveau en juillet 2021, et une autre contre une organisation gouvernementale européenne entre mai 2022 et mars 2024.

En mai 2023, Kaspersky a mis en garde contre les activités de GoldenJackal, notant que les acteurs de la menace se concentrent sur les entités gouvernementales et diplomatiques à des fins d’espionnage.

Bien que leur utilisation d’outils personnalisés répartis sur des clés USB, comme le « ver Chacal », était connue, les cas de compromission réussie des systèmes à entrefer n’étaient pas confirmés auparavant.

Les systèmes à entrefer sont utilisés dans des opérations critiques, qui gèrent souvent des informations confidentielles, et sont isolés des réseaux ouverts par mesure de protection.

Entrer par l’entrefer (d’air)
Les attaques plus anciennes observées par ESET commencent par infecter les systèmes connectés à Internet, probablement à l’aide de logiciels chevaux de Troie ou de documents malveillants, avec un logiciel malveillant appelé « GoldenDealer ».’

GoldenDealer surveille l’insertion de clés USB sur ces systèmes et, lorsque cela se produit, il se copie automatiquement et y copie d’autres composants malveillants.

Finalement, cette même clé USB est insérée dans un ordinateur à entrefer, permettant à GoldenDealer d’installer GoldenHowl (une porte dérobée) et GoldenRobo (un voleur de fichiers) sur ces systèmes isolés.

Pendant cette phase, GoldenRobo scanne le système à la recherche de documents, d’images, de certificats, de clés de cryptage, d’archives, de fichiers de configuration OpenVPN et d’autres informations précieuses et les stocke dans un répertoire caché sur la clé USB.

Lorsque la clé USB est retirée de l’ordinateur à intervalle d’air et reconnectée au système d’origine connecté à Internet, GoldenDealer envoie automatiquement les données volées stockées sur la clé au serveur de commande et de contrôle (C2) de l’auteur de la menace.

GoldenHowl est une porte dérobée Python multifonctionnelle qui peut voler des fichiers, faciliter la persistance, rechercher les vulnérabilités et communiquer directement avec le C2. ESET dit qu’il semble conçu pour fonctionner sur des machines connectées à Internet.

Aperçu des attaques de Chacals dorés

Nouvel ensemble d’outils modulaires
En 2022, GoldenJackal a commencé à utiliser un nouvel ensemble d’outils modulaires basé sur Go qui effectuait des activités similaires à celles décrites dans la section précédente, mais permettait aux attaquants de charger différentes machines avec des rôles distincts.

Par exemple, certaines machines étaient utilisées pour l’exfiltration de fichiers tandis que d’autres servaient de stagers de fichiers ou de points de distribution de configuration.

Le nouveau malware utilisé pour l’infection USB s’appelle GoldenAce, et les outils qui volent des fichiers et les envoient aux attaquants s’appellent « GoldenUsbCopy » et « GoldenUsbGo », ce dernier étant une variante plus récente du premier.

Comparaison de codes entre Golden Usb Copy et Golden Dealer

Golden Usb Go n’utilise plus de configuration cryptée AES, mais exfiltreà la place des fichiers basés sur des instructions codées en dur, y compris les fichiers modifiés récemment (jusqu’à 14 jours) de moins de 20 Mo et correspondant à des types de contenu spécifiques (mots clés tels que » passe », » connexion « ou » clé ») ou certains types de fichiers (.pdf,.doc/.docx, .sh, .chauve-souris).

Un autre composant malveillant intéressant est Golden Blacklist (et son implémentation basée sur Python Golden Py Blacklist), qui filtre et archive des messages électroniques spécifiques provenant de systèmes compromis avant l’exfiltration.

Enfin, il y a GoldenMailer, qui envoie par e-mail les informations volées aux attaquants, et Golden Drive, qui télécharge les données sur Google Drive.

Nouvel ensemble d’outils utilisés dans les attaques en Europe

La présence de deux ensembles d’outils qui chevauchent également les outils décrits dans le rapport de Kaspersky démontre la capacité de GoldenJackal à développer de nouveaux logiciels malveillants personnalisés et à les optimiser pour des opérations d’espionnage secrètes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *