GoldenJackal siber çetesi, diplomatik kurumları gözetliyor

Kaspersky, 2020 yılının ortalarında GoldenJakal grubunu izlemeye başladı. Bu grup, yetenekli ve orta d?zeyde gizlenme becerisine sahip bir tehdit akt?r?ne karşılık geliyor e tutarlı bir faaliyet akışı sergiliyor. Grubun temel ?zelliği, hedeflerinin bilgisayarları ele ge?irmek, ?ıkarılabilir s?r?c?ler aracılığıyla sistemler arasında yayılmak ve belirli dosyaları ?almak. Bu da tehdit akt?r?n?n ana ama?larının casusluk olduğunu g?steriyor.

Kaspersky'nin araştırmasına g?re, tehdit akt?r? saldırıları i?in ilk vekt?rler olarak sahte Skype y?kleyicileri ve zararlı Word belgelerini kullanıyor. Sahte Skype y?kleyicisi yaklaşık 400 MB boyutunda ?alıştırılabilir bir dosyadan oluşuyor ve i?inde JackalControl Truva atı ve yasal bir Skype Kurumsal y?kleyicisi yer alıyor. Bu aracın ilk kullanımı 2020 yılına kadar uzanıyor. Başka bir bulaşma vekt?r? de?Follina g?venlik a?ığından?yararlanan, amaca y?nelik bir HTML sayfasını indirmek i?in uzaktan şablon ekleme tekniğini kullanan k?t? ama?lı bir belgeye dayanıyor.

Belge, "Gallery of Officers Who Have Received National and Foreign Awards.docx" adını taşıyor ve Pakistan h?k?meti tarafından ?d?llendirilen subaylar hakkında bilgi talep eden meşru bir genelgeymiş gibi g?r?n?yor. Follina g?venlik a?ığına dair bilgi ilk olarak 29 Mayıs 2022'de paylaşıldı ve s?z konusu belge kayıtlara g?re a?ığın yayınlanmasından iki g?n sonra, 1 Haziran'da değiştirildi. Belge ilk olarak 2 Haziran'da tespit edildi. Meşru ve g?venliği ihlal edilmiş bir web sitesinden harici bir nesne y?kleyecek şekilde yapılandırılan belge harici nesneyi indirdikten sonra JackalControl Trojan k?t? ama?lı yazılımını i?eren ?alıştırılabilir dosya başlatılıyor.

JackalControl saldırısı, uzaktan kontrol ediliyor

JackalControl saldırısı, saldırganlara hedef makineyi uzaktan kontrol etme imkanı sağlayan ana Truva atı olarak hizmet veriyor. Yıllar i?inde, saldırganlar bu k?t? ama?lı yazılımın farklı varyantlarını dağıtıyor. Bazı varyantlar, kalıcılığını s?rd?rebilmek i?in ek kodlar i?ermekteyken, diğerleri ise sisteme bulaşmadan ?alışabilecek şekilde yapılandırılıyor. Makineler genellikle, toplu komut dosyaları gibi diğer bileşenler aracılığıyla enfekte ediliyor.?

GoldenJackal grubu tarafından yaygın olarak kullanılan ikinci ?nemli ara? JackalSteal adını taşıyor. Bu ara? ?ıkarılabilir USB s?r?c?leri, uzak paylaşımlar ve hedeflenen sistemdeki t?m mantıksal s?r?c?leri izlemek i?in kullanılabiliyor. K?t? ama?lı yazılım standart bir işlem veya hizmet olarak ?alışabiliyor. Ancak kalıcılığını koruyamıyor ve bu nedenle başka bir bileşen tarafından y?klenmesi gerekiyor.

Son olarak GoldenJackal, JackalWorm, JackalPerInfo ve JackalScreenWatcher gibi bir dizi ek ara? kullanıyor. Bu ara?lar Kaspersky araştırmacıları tarafından tanık olunan belirli durumlarda kullanılıyor. Bu ara? seti, kurbanların makinelerini kontrol etmeyi, kimlik bilgilerini ?almayı, masa?st? ekran g?r?nt?lerini almayı ama?lıyor ve nihai hedef olarak casusluğa meyilli olduğunu belli ediyor.

Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) Kıdemli G?venlik Araştırmacısı?Giampaolo Dedola,?şunları s?yledi:?

"GoldenJackal, d?ş?k profiliyle g?zden uzak kalmaya ?alışan ilgin? bir APT akt?r?. İlk olarak Haziran 2019'da faaliyete başlamasına rağmen gizli kalmayı başardılar. Gelişmiş bir k?t? ama?lı yazılım ara? setine sahip olan bu akt?r, Orta Doğu ve G?ney Asya'daki kamu ve diplomatik kuruluşlara y?nelik saldırılarında olduk?a ?retken oldu. K?t? ama?lı yazılım yerleştirmelerinin bazıları hala geliştirme aşamasında olduğundan, siber g?venlik ekiplerinin bu akt?r tarafından ger?ekleştirilebilecek olası saldırılara dikkat etmeleri ?ok ?nemli. Analizimizin GoldenJackal'ın faaliyetlerini ?nlemeye yardımcı olacağını umuyoruz."