«Лаборатория Касперского» обнаружила шакала-шпиона, который проникает на территорию госучреждений на Ближнем Востоке

Неизвестная APT-группа GoldenJackal с 2019 года шпионит за правительственными и дипломатическими учреждениями в Азии и на Ближнем Востоке. Злоумышленники действуют скрытно, тщательно выбирая своих жертв и сводя количество атак к минимуму, чтобы снизить вероятность разоблачения. Об этом сообщили специалисты «Лаборатории Касперского», которые отслеживают GoldenJackal с 2020 года.

По словам экспертов, хакеры проявляют заметную активность в Афганистане, Азербайджане, Иране, Ираке, Пакистане и Турции. В ЛК сообщили, что хотя киберпреступники начали свою деятельность много лет назад, эта группа вообще неизвестна и публично не задокументирована.

Векторы заражения GoldenJackal неизвестны. Однако исследователи наблюдали:

• Фишинговые кампании с вредоносными документами, использующими технику удаленного внедрения шаблона (Remote Template Injection) для эксплуатации уязвимости Microsoft Office Follina;
• Распространение троянизированных (троянизированная версия ПО) установщиков «Skype для бизнеса», которые устанавливали троян вместе с легитимной программой;

По данным «Лаборатории Касперского», GoldenJackal использует набор настраиваемых вредоносных инструментов .NET, которые выполняют различные функции, включая кражу учетных и личных данных, загрузку вредоносных программ, боковое перемещение, эксфильтрацию файлов и многое другое.

GoldenJackal использует несколько собственных инструментов в своих атаках:

1. JackalControl – дает хакерам удаленный контроль над зараженным компьютером. Получая команды от C2-сервера, инструмент может выполнять произвольные сценарии, эксфильтровать файлы или доставлять дополнительные полезные нагрузки;
2. JackalSteal – имплантат для кражи данных со всех логических дисков, включая удаленные общие ресурсы и недавно подключенные USB-накопители;
3. JackalWorm – заражает USB-накопители и распространяется на другие потенциально ценные компьютеры. После попадания на другой компьютер червь стирает свою копию с USB-накопителя;
4. JacklPerInfo – похититель системной информации с возможностью извлечения истории просмотров и учетных данных из браузеров, а также извлечения файлов из каталогов «Desktop», «Documents», «Downloads» и «AppData\Roaming\Microsoft\Windows\Recent»;
5. JackalScreenWatcher – используется для создания снимков экрана на зараженном устройстве и отправки снимков на сервер злоумышленника.

Эксперты Лаборатории Касперского заключили, что GoldenJackal тщательно использует обширный набор настраиваемых инструментов против ограниченного числа жертв, чтобы проводить долгосрочные шпионские кампании.