GoldenJackal APT
A GoldenJackal egy 2019 óta működő APT csoport, amely a Közel-Kelet és Dél-Ázsia kormányzati és diplomáciai szervezeteket használja ki, főként kémkedési célból. Annak ellenére, hogy évekkel ezelőtt kezdték meg tevékenységüket, ez a csoport nem került fókuszba, és nem is publikálták fenyegetéselemzők a tevékenységüket.
A csoport megfigyelését 2020 közepén kezdte el a Kaspersky, és folyamatos aktivitásfigyelt meg, ami lopakodó szereplőre utal. A csoportnak a fő jellemzője a .NET rosszindulatú programok, a JackalControl, a JackalWorm, a JackalSteal, a JackalPerInfo és a JackalScreenWatcher speciális eszközkészlete. Ezek alapján és a viselkedési jellemzők alapján úgy gondolják, hogy az elsődleges motiváció a kémkedés.
Nem teljeskörűen ismer a Kaspersky a fertőzési vektoraikat, de a vizsgálatok során hamis Skype-telepítők és rosszindulatú Word-dokumentumok használatát figyelték meg.
A hamis Skype-telepítő egy skype32.exe nevű .NET futtatható fájl volt, amely körülbelül 400 MB méretű, ami egy drogpert tartalmazott, két alkalmazással: a JackalControl trójai programot és egy valós Skype for Business telepítőt. Ezt az eszközt 2020-ban használták. A másik ismert fertőzési vektor egy rosszindulatú dokumentum volt, amely a távoli sablonbefecskendezési technikát használ egy rosszindulatú HTML-oldal letöltéséhez, amely kihasználja a Follina sebezhetőséget.
A Kaspersky nem tudta határozottan egy nemzetállamhoz sem köti a csoportot, de a vizsgálatok során némi hasonlóságot figyeltek meg GoldenJackal és Turla között.
A Kaspersky megosztotta az azonosításhoz szükséges mutatókat is.