“GoldenJackal” nuevo grupo APT
Recientemente Kaspersky anunció el descubrimiento de un nuevo grupo APT, apodado como GoldenJackal, al parecer este grupo ha estado activo desde el 2019, pero no tiene perfil publico y ha permanecido desconocido. Según la investigación el grupo suele tener como objetivo entidades gubernamentales y diplomáticas en Oriente Medio y el sur de Asia.
Las actividades de vigilancia a este grupo comenzaron en el 2020, los investigadores observaron que su principal característica es un conjunto de herramientas específicas destinadas a controlar las máquinas de sus víctimas, propagarse por los sistemas mediante unidades extraíbles y pasar de contrabando determinados archivos de ellas, lo que sugiere que la principal motivación del actor es el espionaje.
Métodos del grupo
Según muestra la investigación de Kaspersky, el actor utilizaba falsos instaladores de Skype y documentos de Word maliciosos como vectores iniciales de sus ataques. El falso instalador de Skype era un archivo ejecutable de aproximadamente 400 MB de tamaño.
Se trataba de un dropper que contenía dos recursos: el troyano JackalControl y un instalador independiente legítimo de Skype for business. El primer uso de esta herramienta se identificó en 2020. Otro método de infección incluía un documento malicioso que empleaba la técnica de inyección remota de plantillas para bajar una página HTML dañina, explotando la vulnerabilidad Follina.
El documento se llamaba «Gallery of Officers Who Have Received National and Foreign Awards.docx (Galería de oficiales galardonados con premios nacionales y extranjeros)» y parece ser una circular legítima en la que se solicita información sobre oficiales condecorados por el gobierno de Pakistán.
La primera descripción de la vulnerabilidad Follina se publicó el 29 de mayo de 2022 y este documento parece haber sido modificado el 1 de junio, dos días después de su publicación, y se detectó por primera vez el 2 de junio. El documento estaba configurado para cargar un objeto externo desde un sitio web legítimo y comprometido. Una vez descargado el objeto externo, se lanza el archivo ejecutable, que contiene el malware troyano JackalControl.
Qué los define
GoldenJackal también utiliza una serie de herramientas adicionales, como JackalWorm, JackalPerInfo y JackalScreenWatcher. Las cuales se desplazan en casos específicos que observaron los expertos de Kaspersky. Estas herramientas se utilizan para controlar las máquinas de las víctimas, robar sus credenciales, realizar capturas de pantalla del escritorio, todo con el propósito de espiar.
«GoldenJackal es un actor APT intrigante que intenta mantenerse discreto; aunque comenzó a operar en junio de 2019, ha logrado eludir la detección. Con un arsenal avanzado de malware, ha dirigido numerosos ataques contra instituciones gubernamentales y diplomáticas en Oriente Medio y el sur de Asia. Algunos implantes de malware aún están en desarrollo, por lo que es vital que los equipos de ciberseguridad estén alertas ante posibles ataques. Esperamos que nuestro análisis contribuya a prevenir las acciones de GoldenJackal», afirma Giampaolo Dedola, investigador senior de seguridad del Equipo Global de Investigación y Análisis (GReAT) en Kaspersky.