خانه » نفوذ گروه GoldenJackal به سفارتخانه‌ها و سیستم‌های دارای air-gap

نفوذ گروه GoldenJackal به سفارتخانه‌ها و سیستم‌های دارای air-gap

توسط Vulnerbyte
430 بازدید
GoldenJackal - JackalControl- JackalScreenWatcher - JackalPerInfo - JackalWorm - JackalSteal - GoldenDealer - GoldenRobo - GoldenHowl - گروه vulnerbyte

یک گروه هک APT به نام GoldenJackal با استفاده از دو مجموعه ابزار سفارشی که قادر به نفوذ به سیستم‌های دارای air-gap هستند، حملاتی را علیه یک سازمان دولتی در اروپا به انجام رسانده است. این حملات به منظور سرقت داده‌های حساس مانند ایمیل‌ها، کلیدهای رمزگذاری، تصاویر، بایگانی‌ها و اسناد انجام شده است.

air-gap یک اقدام امنیتی است که به منظور ایزوله کردن یک کامپیوتر یا شبکه و جلوگیری از برقراری ارتباط خارجی با آن صورت می‌پذیرد. یک کامپیوتر دارای air-gap از نظر فیزیکی جدا شده و قادر به اتصال بی‌سیم یا فیزیکی با سایر رایانه‌ها یا دستگاه‌های شبکه نیست.

GoldenJackal حداقل از سال 2019 فعال می‌باشد و نهادهای دولتی و دیپلماتیک در اروپا، خاورمیانه و جنوب آسیا را مورد هدف قرار می‌دهد. مجموعه ابزار شناخته شده این گروه شامل چندین ایمپلنت مانند JackalControl، JackalSteal، JackalWorm، JackalPerInfo، و JackalScreenWatcher  می‌باشد که به زبان سی شارپ نوشته شده‌اند و تمامی آنها برای اهداف جاسوسی استفاده می‌شوند.

بر اساس گزارش ESET، گروه GoldenJackal از آگوست 2019 تا کنون از یک مجموعه ابزار سفارشی برای نفوذ به سیستم‌های دارای air-gap سفارتخانه یک کشور آسیای جنوبی در بلاروس استفاده می‌کند و حمله دیگری را نیز علیه یک سازمان دولتی اروپایی بین می 2022 تا مارس 2024 به انجام رسانده است.

کسپرسکی در ماه می 2023، در مورد فعالیت‌های GoldenJackal هشدار داد و خاطر نشان کرد که این گروه برای اهداف جاسوسی بر روی نهادهای دولتی و دیپلماتیک متمرکز شده است.

یکی از ویژگی‌های مهم نفوذها استفاده از یک کرم رایانه‌ای به نام JackalWorm می‌باشد که می‌تواند درایوهای USB متصل شده را آلوده کند و یک تروجان به نام JackalControl را ارائه دهد.

گفته می‌شود در حمله به سفارتخانه مذکور علاوه بر JackalControl، JackalSteal و JackalWorm از سه خانواده بدافزار مختلف نیز استفاده شده است که به شرح زیر می‌باشند:

  • GoldenDealer، این کامپوننت به منظور ارائه فایل‌های اجرایی به سیستم دارای air-gap از طریق درایوهای USB آسیب پذیر استفاده می‌شود.
  • GoldenHowl، یک بکدور ماژولار با قابلیت سرقت فایل، ایجاد تسک‌های زمان بندی شده، آپلود/دانلود فایل‌ها به/ از یک سرور راه دور، و ایجاد یک تونل SSH می‌باشد.
  • GoldenRobo، یک ابزار جمع‌آوری فایل و استخراج داده‌ است.

 

ورود از طریق air-gap

حملات قدیمی‌تری که توسط ESET مشاهده شدند، با آلوده کردن سیستم‌های متصل به اینترنت، احتمالاً با استفاده از نرم ‌افزارهای تروجانیزه شده یا اسناد مخرب، توسط بدافزاری به نام GoldenDealer آغاز شده‌اند.

GoldenDealer که از قبل در رایانه متصل به اینترنت وجود دارد و از طریق مکانیزم همچنان نامشخص توزیع شده است، با وارد کردن یک درایو USB وارد عمل شده و باعث می‌شود خودش به همراه یک کامپوننت کرم مانند ناشناخته در USB کپی شوند.

در نهایت، همان درایو USB در یک کامپیوتر دارای air-gap قرار می‌گیرد و به GoldenDealer اجازه می‌دهد بکدور GoldenHowl و GoldenRobo  بر روی این سیستم‌های ایزوله نصب شود.

GoldenRobo در این مرحله، سیستم را برای اسناد، تصاویر، گواهی‌ها، کلیدهای رمزگذاری، بایگانی‌ها، فایل‌های پیکربندی OpenVPN و سایر اطلاعات ارزشمند اسکن می‌کند و آنها را در یک پوشه مخفی در درایو USB ذخیره می‌کند.

هنگامی که درایو USB از رایانه دارای air-gap جدا می‌شود و دوباره به سیستم اصلی دارای اینترنت متصل می‌گردد، GoldenDealer به طور خودکار داده‌های ربوده شده و ذخیره شده در درایو USB را به سرور فرماندهی و کنترل (C2) گروه تهدید کننده ارسال می‌کند.

GoldenHowl یک بکدور پایتون چند منظوره است که می‌تواند فایل‌ها را برباید، تداوم دسترسی را تسهیل سازد، آسیب ‌پذیری‌ها را اسکن و مستقیماً با سرور C2 ارتباط برقرار کند. به گفته ESET، بکدور GoldenHowl احتمالا برای اجرا در ماشین‌های متصل به اینترنت طراحی شده است.

GoldenJackal - JackalControl- JackalScreenWatcher - JackalPerInfo - JackalWorm - JackalSteal - GoldenDealer - GoldenRobo - GoldenHowl - گروه vulnerbyte
مروری بر حملات Golden Jackal

مجموعه ابزارهای ماژولار جدید

GoldenJackal در سال 2022، شروع به استفاده از یک مجموعه ابزار ماژولار مبتنی بر Go کرد که فعالیت‌های مشابهی را با آنچه در بخش قبل توضیح داده شد انجام می‌داد. هکرها می‌توانستند ماشین‌های مختلف را با نقش‌های مجزا مشخص کنند.

به عنوان مثال، برخی از ماشین‌ها برای استخراج فایل مورد استفاده قرار می‌گرفتند در حالی که برخی دیگر به عنوان توزیع کننده فایل پیکربندی عمل می‌کردند.

بدافزار جدیدی که برای نفوذ به USB استفاده می‌شود GoldenAce نام دارد و ابزارهایی که فایل‌ها را می‌ربایند و آنها را برای مهاجمان ارسال می‌کنند، GoldenUsbCopy و GoldenUsbGo می‌باشند. ابزار GoldenUsbGo نسبت به GoldenUsbCopy جدیدتر است.

JackalControl- JackalScreenWatcher - JackalPerInfo - JackalWorm - JackalSteal - GoldenDealer - GoldenRobo - GoldenHowl - گروه vulnerbyte
مقایسه کد بین GoldenUsbCopy و GoldenDealer

GoldenUsbGo، فایل‌ها را بر اساس دستورالعمل‌های هاردکد شده استخراج می‌کند، از جمله فایل‌های اصلاح ‌شده اخیر (تا ۱۴ روز) که کوچک‌تر از ۲۰ مگابایت هستند و با انواع خاصی از محتوا (کلمات کلیدی مانند ” pass”، ” login”، یا ” key”) یا انواع فایل‌های خاص (مانند pdf.، doc./docx.، sh. و bat.) مطابقت دارند.

یکی دیگر از کامپوننت‌های جالب بدافزار، GoldenBlacklist  (و پیاده‌سازی مبتنی بر پایتون آن یعنی GoldenPyBlacklist) می‌باشد که پیام‌های ایمیل خاصی را از سیستم‌های آلوده به بدافزار استخراج، فیلتر و بایگانی می‌کند.

در نهایت، GoldenMailer اطلاعات ربوده شده را برای مهاجمان ایمیل می‌کند و GoldenDrive نیز داده‌ها را در Google Drive آپلود خواهد کرد.

GoldenJackal - JackalControl- JackalScreenWatcher - JackalPerInfo - JackalWorm - JackalSteal - GoldenDealer - GoldenRobo - GoldenHowl - گروه vulnerbyte
ابزار جدیدتر مورد استفاده در حملات در اروپا

سخن پایانی

ما در این مقاله، دو مجموعه ابزار جدید را که توسط گروه GoldenJackal APT برای نفوذ به سیستم‌های دارای air-gap سازمان‌های دولتی، از جمله سازمان‌های اروپایی، استفاده شده بودند، مورد بررسی قرار دادیم. مدیریت استقرار دو مجموعه ابزار مجزا برای نفوذ به شبکه‌های دارای air-gap در تنها پنج سال نشان می‌دهد که GoldenJackal یک گروه APT پیچیده می‌باشد که از تقسیم‌بندی شبکه مورد استفاده توسط اهدافش آگاه است.

به منظور دریافت فهرست کاملی از IoCهای مرتبط با ابزارها، می‌توانید به اینجا مراجعه کنید.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید