Kelompok ancaman persisten tingkat lanjut (APT) yang relatif tidak dikenal bernama ‘GoldenJackal’ telah menargetkan entitas pemerintah dan diplomatik di Asia sejak 2019 untuk spionase.
Pelaku ancaman telah mempertahankan profil rendah untuk sembunyi-sembunyi, dengan hati-hati memilih korban mereka dan menjaga jumlah serangan seminimal mungkin untuk mengurangi kemungkinan paparan.
Kaspersky telah melacak GoldenJackal sejak 2020, dan hari ini melaporkan bahwa pelaku ancaman memiliki aktivitas penting di Afghanistan, Azerbaijan, Iran, Irak, Pakistan, dan Turki.
“GoldenJackal adalah grup APT, aktif sejak 2019, yang biasanya menargetkan entitas pemerintah dan diplomatik di Timur Tengah dan Asia Selatan,” jelas Kaspersky.
“Terlepas dari fakta bahwa mereka memulai aktivitasnya bertahun-tahun yang lalu, kelompok ini umumnya tidak dikenal dan, sejauh yang kami tahu, belum dijelaskan secara publik.”
Vektor infeksi APT tidak diketahui. Namun, para peneliti telah mengamati tanda-tanda operasi phishing dengan dokumen berbahaya yang menggunakan teknik injeksi template jarak jauh untuk mengeksploitasi Kerentanan Microsoft Office Follina.
Selain itu, Kaspersky telah melihat kasus trojanized ‘Skype for Business’ installer yang menjatuhkan trojan bersama salinan perangkat lunak yang sah.
Sementara analis Kaspersky telah melihat kesamaan kode dan TTP (teknik, taktik, dan prosedur) dengan Turla, mereka melacak GoldenJackal sebagai kluster aktivitas terpisah.
Kumpulan alat ‘Jackal’ khusus yang kaya
Menurut Kaspersky, GoldenJackal menggunakan seperangkat alat malware .NET khusus yang menyediakan berbagai fungsi, termasuk dumping kredensial, pencurian data, pemuatan malware, pergerakan lateral, eksfiltrasi file, dan banyak lagi.
Muatan utama yang digunakan pertama kali untuk menginfeksi sistem adalah ‘JackalControl,’ yang memberi penyerang kendali jarak jauh atas komputer yang terinfeksi.
Malware dapat dijalankan sebagai program atau layanan Windows dan dapat membangun kegigihan dengan menambahkan kunci Registri, tugas terjadwal Windows, atau layanan Windows.
Itu menerima perintah yang disandikan dari server C2 melalui permintaan HTTP POST, yang menyangkut eksekusi program arbitrer, eksfiltrasi file, atau mengambil muatan tambahan dari C2.
Alat kedua yang digunakan oleh para peretas adalah ‘JackalSteal,’ sebuah implan yang ditujukan untuk eksfiltrasi data dari semua drive logis pada komputer yang disusupi, termasuk share jarak jauh dan bahkan drive USB yang baru terhubung.
Penyerang dapat mengeksekusi pencuri dengan argumen yang menentukan jenis, jalur, ukuran file yang ditargetkan, kapan file terakhir digunakan, dan mengecualikan jalur tertentu yang mungkin dipantau oleh alat keamanan.
Semua file yang cocok dengan parameter yang ditetapkan dienkripsi menggunakan AES, RSA, atau DES, kemudian dikompresi dengan GZIP, dan akhirnya dikirimkan ke server C2.
Alat ketiga dalam gudang senjata GoldenJackal adalah ‘JackalWorm,’ yang menginfeksi drive USB untuk menyebar ke komputer lain yang berpotensi berharga.
“Ketika malware mendeteksi perangkat penyimpanan USB yang dapat dilepas, itu akan menyalin dirinya sendiri ke dalamnya,” demikian laporan Kaspersky.
“Ini akan membuat salinan dirinya sendiri di drive root menggunakan nama direktori yang sama dan mengubah atribut direktori menjadi “tersembunyi.” Ini akan mengakibatkan direktori sebenarnya disembunyikan dan diganti dengan salinan malware dengan nama direktori.”
Untuk mengaburkan sifatnya dan mengelabui korban agar mengeksekusinya, ‘JackalWorm’ menggunakan ikon direktori Windows pada drive yang dapat dilepas.
Jika itu terjadi, worm akan menginfeksi sistem host, menetapkan kegigihan dengan membuat tugas terjadwal, lalu menghapus salinannya dari drive USB.
Alat keempat yang digunakan oleh Golden Jackal APT adalah ‘JacklPerInfo,’ pengumpul informasi sistem dasar dengan kemampuan tambahan untuk mengidentifikasi dan mengekstraksi riwayat penjelajahan dan kredensial yang disimpan di browser web.
Melayani seperti malware pencuri info biasa, JacklPerInfo juga dapat mengekstraksi file dari Desktop, Dokumen, Unduhan, dan AppData\Roaming\Microsoft\Windows\Recent direktori.
Alat malware kelima dan terakhir yang disajikan dalam laporan Kaspersky adalah ‘JackalScreenWatcher,’ yang digunakan untuk mengambil tangkapan layar pada perangkat yang terinfeksi.
Operator dapat menentukan resolusi dan interval waktu pengambilan gambar, dan alat akan mengirim media ke C2 melalui permintaan HTTP POST dalam bentuk muatan terenkripsi.
Kesimpulannya, GoldenJackal telah dengan hati-hati menggunakan seperangkat alat khusus yang ekstensif terhadap sejumlah kecil korban untuk melakukan apa yang diyakini Kaspersky sebagai operasi spionase jangka panjang.
Meskipun hanya sedikit hal yang diketahui tentang taktik operasional APT, keragaman dalam rantai infeksi yang diamati dikombinasikan dengan alat malware berkemampuan tinggi tidak diragukan lagi bahwa ini adalah aktor ancaman yang canggih.
