Un grupo de atacantes y APT conocido como GoldenJackal ha violado con éxito
sistemas gubernamentales aislados en Europa utilizando dos conjuntos de
herramientas personalizadas para robar datos confidenciales, como correos
electrónicos, claves de cifrado, imágenes, archivos y documentos.
Según un
informe de ESET, esto ocurrió al menos dos veces, una contra la embajada de un país del sur
de Asia en Bielorrusia en septiembre de 2019 y nuevamente en julio de 2021, y
otra contra una organización gubernamental europea entre mayo de 2022 y marzo
de 2024.
En
mayo de 2023, Kaspersky advirtió
sobre las actividades de GoldenJackal, señalando que los actores de amenazas
se centran en entidades gubernamentales y diplomáticas con fines de espionaje.
Aunque se conocía el uso de herramientas personalizadas distribuidas en
memorias USB, como el ‘JackalWorm’, no se habían confirmado previamente casos
de compromiso exitoso de sistemas aislados.
Los sistemas aislados (air-gap) se utilizan en operaciones críticas, que a menudo
administran información confidencial, y están aislados de las redes abiertas
como medida de protección.
Entrando a redes aisladas (air-gap)
Los ataques más antiguos vistos por ESET comienzan infectando sistemas
conectados a Internet, probablemente utilizando software troyanizado o
documentos maliciosos, con un malware llamado ‘GoldenDealer’.
GoldenDealer monitorea la inserción de unidades USB en esos sistemas y, cuando
esto sucede, automáticamente se copia a sí mismo y a otros componentes
maliciosos en ellos. Finalmente, esa misma unidad USB se inserta en una
computadora aislada, lo que permite a GoldenDealer instalar GoldenHowl (una
puerta trasera) y GoldenRobo (un ladrón de archivos) en estos sistemas
aislados.
Durante esta fase, GoldenRobo escanea el sistema en busca de documentos,
imágenes, certificados, claves de cifrado, archivos, archivos de configuración
de OpenVPN y otra información valiosa y los almacena en un directorio oculto
en la unidad USB.
Cuando se retira la unidad USB de la computadora aislada y se vuelve a
conectar al sistema original conectado a Internet, GoldenDealer envía
automáticamente los datos robados almacenados en la unidad al servidor de
comando y control (C2) del actor de la amenaza.
GoldenHowl es una puerta trasera de Python multifuncional que puede robar
archivos, facilitar la persistencia, buscar vulnerabilidades y comunicarse
directamente con el C2. ESET dice que parece diseñado para ejecutarse en
máquinas conectadas a Internet.
.jpg)
Nuevo conjunto de herramientas modulares
En 2022, GoldenJackal comenzó a utilizar un nuevo conjunto de herramientas
modulares basado en Go que realizaba actividades similares a las descritas en
la sección anterior, pero permitía a los atacantes asignar tareas a diferentes
máquinas con roles separados.
El nuevo malware utilizado para la infección de USB se llama GoldenAce, y las
herramientas que roban archivos y los envían a los atacantes se denominan
‘GoldenUsbCopy’ y ‘GoldenUsbGo’, siendo esta última una variante más reciente
del primero.
GoldenUsbGo ya no utiliza una configuración cifrada con AES, sino que extrae
archivos basándose en instrucciones codificadas, incluidos archivos
modificados recientemente (hasta 14 días) que pesan menos de 20 MB y coinciden
con tipos específicos de contenido (palabras clave como
«password», «login», o «key») o ciertos tipos de archivos (.pdf, .doc/.docx, .sh, .bat).
Otro componente de malware interesante es GoldenBlacklist (y su implementación
basada en Python GoldenPyBlacklist), que filtra y archiva mensajes de correo
electrónico específicos de sistemas comprometidos antes de su exfiltración.
Finalmente, está GoldenMailer, que envía por correo electrónico la información
robada a los atacantes, y GoldenDrive, que carga los datos en Google Drive.
La presencia de dos conjuntos de herramientas que también se superponen con
las herramientas descritas en el informe de Kaspersky demuestra la capacidad
de GoldenJackal para desarrollar nuevo malware personalizado y optimizarlo
para operaciones de espionaje encubierto.
Para obtener una lista completa de los indicadores de compromiso (IoC)
asociados con todas esas herramientas, puede consultar esta
página de GitHub.
Fuente:
BC
Los comentarios están cerrados.