导 读
鲜为人知的威胁组织GoldenJackal涉嫌对大使馆和政府组织发动一系列网络攻击,其目的是利用两个不同的定制工具集渗透隔离网络系统。
斯洛伐克网络安全公司 ESET 表示,受害者包括白俄罗斯的南亚大使馆和一个欧盟政府 (EU) 组织。
安全研究员 Matías Porolli在详尽的分析中指出:“GoldenJackal 的最终目标似乎是窃取机密信息,尤其是那些可能未连接到互联网的隔离网络系统。”
GoldenJackal于 2023 年 5 月首次曝光,当时卡巴斯基详细介绍了该威胁集群对中东和南亚政府和外交实体的攻击。该威胁组织的起源至少可以追溯到 2019 年。
此次入侵的一个重要特征是使用一种名为 JackalWorm 的蠕虫,该蠕虫能够感染连接的 USB 驱动器并传播一种名为 JackalControl 的木马。
虽然没有足够的信息来明确地将这些活动与特定的国家威胁联系起来,但与Turla和MoustachedBouncer相关活动中使用的恶意工具在战术上存在一些重叠,后者还单独针对了白俄罗斯的外国大使馆。
ESET 表示,它于 2019 年 8 月和 9 月在白俄罗斯的南亚大使馆发现了 GoldenJackal 恶意软件,并于 2021 年 7 月再次发现了该组件。
威胁组织还设法在 2022 年 5 月至 2024 年 3 月期间针对欧盟政府实体部署了一套完全改进的工具集。
Porolli 指出:“鉴于所需的复杂程度,GoldenJackal 在五年内成功构建和部署了不止一套,而是两套旨在破坏隔离系统的独立工具集,这相当不寻常。”“这说明该威胁组织足智多谋。”
据称,针对白俄罗斯南亚大使馆的攻击除了使用 JackalControl、JackalSteal 和 JackalWorm 之外,还使用了三种不同的恶意软件家族:
-
GoldenDealer,用于通过受感染的 USB 驱动器向隔离网络系统传送可执行文件
-
GoldenHowl是一款模块化后门,具有窃取文件、创建计划任务、从远程服务器上传/下载文件以及创建 SSH 隧道等功能。
-
GoldenRobo,一款文件收集器和数据泄露工具
另一方面,针对欧洲某未具名政府组织的攻击被发现依赖于一套全新的恶意软件工具,这些工具大多用 Go 编写。
它们被设计用于从 USB 驱动器收集文件、通过 USB 驱动器传播恶意软件、窃取数据,并使用一些机器服务器作为暂存服务器将有效载荷分发到其他主机:
-
GoldenUsbCopy及其改进的继任者GoldenUsbGo,用于监控 USB 驱动器并复制文件以进行数据窃取
-
GoldenAce,用于通过 USB 驱动器将恶意软件(包括轻量级版本的 JackalWorm)传播到其他系统(不一定是隔离的系统)
-
GoldenBlacklist及其 Python 实现GoldenPyBlacklist,旨在处理感兴趣的电子邮件消息以便进行后续的泄露
-
GoldenMailer,通过电子邮件将窃取的信息发送给攻击者
-
GoldenDrive,将窃取的信息上传至 Google Drive
目前尚不清楚 GoldenJackal 如何成功获得初始攻击并入侵目标环境。不过,卡巴斯基之前曾暗示,木马化的 Skype 安装程序和恶意 Microsoft Word 文档可能是入侵点。
GoldenDealer 已经存在于连接到互联网的计算机中,并通过尚未确定的机制进行传输,当插入 USB 驱动器时,它会开始运行,导致其自身和未知的蠕虫组件被复制到可移动设备中。
怀疑当受感染的 USB 驱动器连接到隔离网络系统时,未知组件就会执行,随后 GoldenDealer 会将有关机器的信息保存到 USB 驱动器中。
当 USB 设备第二次插入上述连接互联网的机器时,GoldenDealer 会将驱动器中存储的信息传递到外部服务器,然后外部服务器会使用适当的有效负载进行响应,以便在隔离系统上运行。
该恶意软件还负责将下载的可执行文件复制到 USB 驱动器。在最后阶段,当设备再次连接到隔离的机器时,GoldenDealer 会获取复制的可执行文件并运行它们。
GoldenRobo 也可以在联网的 PC 上执行,并能够从 USB 驱动器中获取文件并将其传输到攻击者控制的服务器。该恶意软件以 Go 语言编写,因使用名为robocopy的合法 Windows 实用程序复制文件而得名。
ESET 表示,尚未发现一个单独的模块来负责将文件从隔离计算机复制到 USB 驱动器本身。
Porolli 表示:“仅在五年内就成功部署了两套用于突破隔离网络的独立工具集,表明 GoldenJackal 是一个老练的威胁组织,它清楚其目标所使用的网络分段。”
技术报告:https://www.welivesecurity.com/en/eset-research/mind-air-gap-goldenjackal-gooses-government-guardrails/
新闻链接:
https://thehackernews.com/2024/10/goldenjackal-target-embassies-and-air.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
美国水务公司调查未经授权的网络入侵事件
https://www.cybersecuritydive.com/news/american-water-works-cyber-intrusion/729153/
威胁组织“Awaken Likho”利用先进工具攻击俄罗斯政府
https://thehackernews.com/2024/10/cyberattack-group-awaken-likho-targets.html
GoldenJackal 使用新工具集攻击白俄罗斯大使馆和欧洲政府组织的隔离网络系统https://thehackernews.com/2024/10/goldenjackal-target-embassies-and-air.html
一般威胁事件
General Threat Incidents
印度国家数据中心遭恶意软件攻击,导致部分公民服务陷入瘫痪https://www.csoonline.com/article/3549777/malware-attack-on-state-data-center-in-india-puts-some-citizen-services-at-a-standstill.html
ANY.RUN 发布了对用于分发 SSLoad 恶意软件新加载程序的深入分析
https://www.kxan.com/business/press-releases/ein-presswire/749661086/any-run-publishes-in-depth-analysis-on-new-loader-used-to-distribute-ssload-malware/
医疗保健组织警告 Trinity 勒索软件攻击
https://www.securityweek.com/healthcare-organizations-warned-of-trinity-ransomware-attacks/
游戏玩家被虚假作弊脚本引擎诱骗下载基于 Lua 的恶意软件
https://thehackernews.com/2024/10/gamers-tricked-into-downloading-lua.html
新型 Gorilla 僵尸网络在 100 个国家/地区发起超过 300,000 次 DDoS 攻击
https://thehackernews.com/2024/10/new-gorilla-botnet-launches-over-300000.html
卡西欧公司报告周末网络入侵后 IT 系统故障
https://www.bleepingcomputer.com/news/security/casio-reports-it-systems-failure-after-weekend-network-breach/
漏洞事件
Vulnerability Incidents
微软 2024 年 10 月补丁日修复 118 个安全漏洞,其中包括5个0day
https://www.securityweek.com/patch-tuesday-microsoft-confirms-exploited-zero-day-in-windows-management-console/
谷歌和大赦国际研究人员发现,高通芯片组漏洞(CVE-2024-43047)可能被利用于针对性攻击
https://www.securityweek.com/qualcomm-alerted-to-possible-zero-day-exploited-in-targeted-attacks/
关键 Oath-Toolkit 漏洞使攻击者能够提升权限
https://cybersecuritynews.com/oath-toolkit-vulnerability-attackers-privilege/
Okta 修复允许绕过登录策略的严重漏洞
https://hackread.com/okta-fixes-sign-on-policy-bypass-vulnerability/
WordPress LiteSpeed 缓存插件安全漏洞导致网站遭受 XSS 攻击
https://thehackernews.com/2024/10/wordpress-litespeed-cache-plugin.html
Linux 内核漏洞可能影响 IBM 存储复制数据管理
https://www.ibm.com/support/pages/security-bulletin-vulnerability-linux-kernel-might-affect-ibm-storage-copy-data-management
黑客通过转储文件利用 Visual Studio RCE 漏洞
https://cybersecuritynews.com/visual-studio-rce-vulnerability-via-dump-files/
macOS Sequoia 更新修复了安全软件兼容性问题
https://www.securityweek.com/macos-sequoia-update-fixes-security-software-compatibility-issues/
物理安全公司 ADT 再次遭黑客攻击
https://www.securityweek.com/physical-security-firm-adt-hacked-again/
Adobe 修补了 Commerce 和 Magento 产品中的严重漏洞
https://www.securityweek.com/adobe-patches-critical-bugs-in-commerce-and-magento-products/
三个关键的 Ivanti CSA 漏洞正被积极利用
https://thehackernews.com/2024/10/zero-day-alert-three-critical-ivanti.html
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):GoldenJackal 使用新工具集攻击白俄罗斯大使馆和欧洲隔离网络系统
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论