Air-gapped rendszerek kihasználása

Editors' Pick

Az ESET kutatói egy európai kormányzati szervezet elleni támadássorozatot fedeztek fel, amely olyan eszközöket használt, amelyek alkalmasak az air-gapped rendszerek célba vételére. A kampány, amelyet a GoldenJackalnak, egy kormányzati és diplomáciai szervezeteket célzó kiberkémkedő APT-csoportnak tulajdonítanak, 2022 májusa és 2024 márciusa között zajlott. A csoport által bevetett eszközkészlet elemzése révén az ESET kutatói azonosítani tudtak egy korábbi 2019-es dél-ázsiai nagykövetség ellen végrehajtott GoldenJackal-támadást Fehéroroszországban, amely szintén a nagykövetség air-gapped rendszereit célozta meg egyedi eszközökkel.

A GoldenJackal egy legalább 2019 óta aktív APT csoport. Célpontjai kormányzati és diplomáciai szervezetek Európában, a Közel-Keleten és Dél-Ázsiában. A csoport kevéssé ismert, és csak 2023-ban dokumentálta nyilvánosan a Kaspersky. A csoport ismert eszközkészlete számos C# nyelven írt implantátumot tartalmaz: JackalControl, JackalSteal, JackalWorm, JackalPerInfo és JackalScreenWatcher – mindegyiket kémkedésre használják.

A blogbejegyzésben ismertetett kampányok során a GoldenJackal APT-csoportnak tulajdonított eszközök valamelyikét alkalmazták. A Kaspersky jelentéséhez hasonlóan a GoldenJackal tevékenységét sem tudták egy konkrét nemzetállamhoz kötni. Van azonban egy nyom, amely a támadások eredetére utalhat: a GoldenHowl malware-ben a C&C protokollt transport_http-ként említik, amely kifejezés jellemzően a Turla (lásd ComRat v4 jelentésünket) és a MoustachedBouncer által használt kifejezés. Ez arra utalhat, hogy a GoldenHowl fejlesztői oroszul beszélnek.

Forrás