Kaspersky ha descubierto un nuevo grupo de ciberdelincuencia. El grupo, llamado GoldenJackal, ha estado activo desde 2019 pero no tiene un perfil público y sigue siendo en gran parte un misterio. Según la información obtenida de la investigación, el grupo se dirige principalmente a instituciones públicas y diplomáticas en el Medio Oriente y el sur de Asia.
Kaspersky comenzó a monitorear GoldenJakal a mediados de 2020. Este grupo corresponde a un actor de amenazas habilidoso y moderadamente encubierto y exhibe un flujo constante de actividad. La característica principal del grupo es que sus objetivos son secuestrar computadoras, propagarse entre sistemas a través de unidades extraíbles y robar ciertos archivos. Esto demuestra que los propósitos principales del actor de amenazas son el espionaje.
Según la investigación de Kaspersky, el actor de amenazas utiliza instaladores falsos de Skype y documentos de Word maliciosos como vectores iniciales para los ataques. El instalador falso de Skype consta de un archivo ejecutable de aproximadamente 400 MB y contiene el troyano JackalControl y un instalador legítimo de Skype Empresarial. El primer uso de esta herramienta data de 2020. Otro vector de infección se basa en un documento malicioso que explota la vulnerabilidad de Follina, utilizando una técnica de inyección de plantilla remota para descargar una página HTML especialmente diseñada.
El documento se titula “Galería de Oficiales que han Recibido Premios Nacionales y Extranjeros.docx” y parece ser una circular legítima solicitando información sobre los oficiales otorgados por el gobierno de Pakistán. La información sobre la vulnerabilidad de Follina se compartió por primera vez el 29 de mayo de 2022 y el documento se modificó el 1 de junio, dos días después de la publicación de la vulnerabilidad, según los registros. El documento fue visto por primera vez el 2 de junio. Lanzar el ejecutable que contiene el malware troyano JackalControl después de descargar el objeto de documento externo configurado para cargar un objeto externo desde un sitio web legítimo y comprometido.
Ataque JackalControl, controlado remotamente
El ataque JackalControl sirve como el troyano principal que permite a los atacantes controlar de forma remota la máquina de destino. A lo largo de los años, los atacantes han estado distribuyendo diferentes variantes de este malware. Algunas variantes contienen códigos adicionales para mantener su permanencia, mientras que otras están configuradas para operar sin infectar el sistema. Las máquinas a menudo se infectan a través de otros componentes, como scripts por lotes.
La segunda herramienta importante ampliamente utilizada por el grupo GoldenJackal es JackalSteal. Esta herramienta se puede usar para monitorear unidades USB extraíbles, recursos compartidos remotos y todas las unidades lógicas en el sistema de destino. El malware puede ejecutarse como un proceso o servicio estándar. Sin embargo, no puede mantener su persistencia y, por lo tanto, debe ser cargado por otro componente.
Finalmente, GoldenJackal utiliza una serie de herramientas adicionales como JackalWorm, JackalPerInfo y JackalScreenWatcher. Estas herramientas se utilizan en situaciones específicas presenciadas por los investigadores de Kaspersky. Este conjunto de herramientas tiene como objetivo controlar las máquinas de las víctimas, robar credenciales, tomar capturas de pantalla de los escritorios e indicar una propensión al espionaje como objetivo final.
Giampaolo Dedola, investigador sénior de seguridad en Kaspersky Global Research and Analysis Team (GReAT), dijo:
“GoldenJackal es un actor de APT interesante que trata de mantenerse fuera de la vista con su perfil bajo. A pesar de que comenzaron a operar por primera vez en junio de 2019, han logrado permanecer ocultos. Con un conjunto de herramientas de malware avanzado, este actor ha sido muy prolífico en sus ataques contra organizaciones públicas y diplomáticas en el Medio Oriente y el sur de Asia. Dado que algunas de las incrustaciones de malware aún están en desarrollo, es crucial que los equipos de ciberseguridad estén atentos a posibles ataques de este actor. Esperamos que nuestro análisis ayude a prevenir las actividades de GoldenJackal”.