Kaspersky는 새로운 사이버 범죄 그룹을 발견했습니다. GoldenJackal이라고 하는 이 그룹은 2019년부터 활동했지만 공개 프로필이 없으며 대체로 미스터리로 남아 있습니다. 연구에서 얻은 정보에 따르면 이 그룹은 주로 중동과 남아시아의 공공 및 외교 기관을 대상으로 합니다.
Kaspersky는 2020년 중반에 GoldenJakal 모니터링을 시작했습니다. 이 그룹은 숙련되고 적당히 은폐된 위협 행위자에 해당하며 일관된 활동 흐름을 보여줍니다. 이 그룹의 주요 특징은 컴퓨터를 하이재킹하고 이동식 드라이브를 통해 시스템 간에 확산되며 특정 파일을 훔치는 것이 목표라는 것입니다. 이는 위협 행위자의 주요 목적이 간첩임을 보여줍니다.
Kaspersky의 연구에 따르면 공격자는 가짜 Skype 설치 프로그램과 악성 Word 문서를 공격의 초기 벡터로 사용합니다. 가짜 Skype 설치 프로그램은 약 400MB의 실행 파일로 구성되며 JackalControl 트로이 목마와 합법적인 비즈니스용 Skype 설치 프로그램을 포함합니다. 이 도구가 처음 사용된 것은 2020년으로 거슬러 올라갑니다. 또 다른 감염 경로는 특수 제작된 HTML 페이지를 다운로드하기 위해 원격 템플릿 삽입 기술을 사용하여 Follina 취약점을 악용하는 악성 문서를 기반으로 합니다.
이 문서의 제목은 "Gallery of Officers Who Have Received National and Foreign Awards.docx"이며 파키스탄 정부가 수여하는 장교에 대한 정보를 요청하는 합법적인 회람으로 보입니다. Follina 취약점에 대한 정보는 29년 2022월 1일에 처음 공유되었으며, 기록에 따르면 취약점이 공개된 지 이틀 후인 2월 XNUMX일에 문서가 변경되었습니다. 이 문서는 XNUMX월 XNUMX일 처음 발견되었습니다. 합법적이고 손상된 웹 사이트에서 외부 개체를 로드하도록 구성된 외부 문서 개체를 다운로드한 후 JackalControl 트로이 목마 맬웨어가 포함된 실행 파일을 시작합니다.
JackalControl 공격, 원격 제어
JackalControl 공격은 공격자가 대상 시스템을 원격으로 제어할 수 있도록 하는 주요 트로이 목마 역할을 합니다. 수년 동안 공격자는 이 맬웨어의 다양한 변종을 배포해 왔습니다. 일부 변종에는 영구성을 유지하기 위한 추가 코드가 포함되어 있는 반면 다른 변종은 시스템을 감염시키지 않고 작동하도록 구성되어 있습니다. 컴퓨터는 종종 배치 스크립트와 같은 다른 구성 요소를 통해 감염됩니다.
GoldenJackal 그룹에서 널리 사용하는 두 번째 중요한 도구는 JackalSteal입니다. 이 도구는 이동식 USB 드라이브, 원격 공유 및 대상 시스템의 모든 논리 드라이브를 모니터링하는 데 사용할 수 있습니다. 멀웨어는 표준 프로세스 또는 서비스로 실행될 수 있습니다. 그러나 지속성을 유지할 수 없으므로 다른 구성 요소에서 로드해야 합니다.
마지막으로 GoldenJackal은 JackalWorm, JackalPerInfo 및 JackalScreenWatcher와 같은 다양한 추가 도구를 사용합니다. 이러한 도구는 Kaspersky 연구원이 목격한 특정 상황에서 사용됩니다. 이 툴킷은 피해자의 컴퓨터를 제어하고, 자격 증명을 훔치고, 데스크톱의 스크린샷을 찍고, 궁극적인 목표로 스파이 성향을 나타내는 것을 목표로 합니다.
Kaspersky 글로벌 연구 및 분석 팀(GReAT)의 수석 보안 연구원인 Giampaolo Dedola는 다음과 같이 말했습니다.
“GoldenJackal은 낮은 프로필로 눈에 띄지 않으려고 하는 흥미로운 APT 공격자입니다. 2019년 XNUMX월 첫 작전을 시작했음에도 불구하고 간신히 숨어 있었습니다. 고급 악성 코드 툴킷을 사용하는 이 공격자는 중동 및 남아시아의 공공 및 외교 기관에 대한 공격을 매우 많이 수행했습니다. 일부 맬웨어 임베드는 아직 개발 중이므로 사이버 보안 팀이 이 행위자의 공격 가능성을 주시하는 것이 중요합니다. 우리의 분석이 GoldenJackal의 활동을 방지하는 데 도움이 되기를 바랍니다.”