“Kaspersky” şirkəti yeni kibercinayətkarlıq qrupu aşkar edib. GoldenJackal adlı qrup 2019-cu ildən fəaliyyət göstərir, lakin heç bir ictimai profilə malik deyil və əsasən sirr olaraq qalır. Araşdırmadan əldə edilən məlumata görə, qrup əsasən Yaxın Şərq və Cənubi Asiyada dövlət və diplomatik qurumları hədəfə alıb.
Kaspersky GoldenJakal-ın monitorinqinə 2020-ci ilin ortalarında başlayıb. Bu qrup bacarıqlı və orta səviyyədə gizlənmiş təhlükə aktyoruna uyğun gəlir və ardıcıl fəaliyyət axını nümayiş etdirir. Qrupun əsas xüsusiyyəti ondan ibarətdir ki, onların hədəfləri kompüterləri oğurlamaq, çıxarıla bilən disklər vasitəsilə sistemlər arasında yayılmaq və müəyyən faylları oğurlamaqdır. Bu onu göstərir ki, təhdid aktyorunun əsas məqsədləri casusluqdur.
Kaspersky-nin araşdırmasına görə, təhlükə aktyoru hücumlar üçün ilkin vektor kimi saxta Skype quraşdırıcılarından və zərərli Word sənədlərindən istifadə edir. Saxta Skype quraşdırıcısı təxminən 400 MB-lıq icra edilə bilən fayldan ibarətdir və JackalControl Trojan və qanuni Skype for Business quraşdırıcısını ehtiva edir. Bu alətin ilk istifadəsi 2020-ci ilə təsadüf edir. Digər infeksiya vektoru məqsədli HTML səhifəsini yükləmək üçün uzaqdan şablon inyeksiya texnikasından istifadə edərək Follina zəifliyindən istifadə edən zərərli sənədə əsaslanır.
Sənəd “Milli və Xarici Mükafatları Almış Zabitlər Qalereyası” adlanır.docx və Pakistan hökuməti tərəfindən mükafatlandırılan zabitlər haqqında məlumat tələb edən qanuni sirkulyar kimi görünür. Qeydlərə görə, Follina zəifliyi haqqında məlumat ilk dəfə 29 may 2022-ci ildə paylaşılıb və sənəd zəifliyin buraxılmasından iki gün sonra, iyunun 1-də dəyişdirilib. Sənəd ilk dəfə iyunun 2-də aşkarlanıb. Qanuni və təhlükəsi olan vebsaytdan xarici obyekti yükləmək üçün konfiqurasiya edilmiş xarici sənəd obyektini endirdikdən sonra tərkibində JackalControl troyan zərərli proqram təminatı olan icraedici faylın işə salınması.
JackalControl hücumu, uzaqdan idarə olunur
JackalControl hücumu təcavüzkarlara hədəf maşını uzaqdan idarə etməyə imkan verən əsas troyan kimi xidmət edir. İllər ərzində təcavüzkarlar bu zərərli proqramın müxtəlif variantlarını paylayırlar. Bəzi variantlarda daimiliyini qorumaq üçün əlavə kodlar var, digərləri isə sistemə yoluxmadan işləmək üçün konfiqurasiya olunub. Maşınlar tez-tez toplu skriptlər kimi digər komponentlər vasitəsilə yoluxur.
GoldenJackal qrupunun geniş istifadə etdiyi ikinci mühüm alət JackalSteal-dir. Bu alət çıxarıla bilən USB sürücülərini, uzaq paylaşımları və hədəf sistemdəki bütün məntiqi sürücüləri izləmək üçün istifadə edilə bilər. Zərərli proqram standart proses və ya xidmət kimi işləyə bilər. Bununla belə, o, davamlılığını saxlaya bilmir və buna görə də başqa bir komponent tərəfindən yüklənməlidir.
Nəhayət, GoldenJackal JackalWorm, JackalPerInfo və JackalScreenWatcher kimi bir sıra əlavə vasitələrdən istifadə edir. Bu alətlər Kaspersky tədqiqatçılarının şahidi olduğu xüsusi hallarda istifadə olunur. Bu alətlər dəsti qurbanların maşınlarına nəzarət etmək, etimadnamələrini oğurlamaq, masaüstü kompüterlərin skrinşotlarını çəkmək və son hədəf kimi casusluğa meyli göstərmək məqsədi daşıyır.
Giampaolo Dedola, Kaspersky Qlobal Tədqiqat və Analiz Qrupunun (GReAT) baş təhlükəsizlik üzrə tədqiqatçısı:
“GoldenJackal, aşağı profili ilə gözdən uzaq olmağa çalışan maraqlı bir APT aktyorudur. İlk dəfə 2019-cu ilin iyununda fəaliyyətə başlamalarına baxmayaraq, onlar gizlənə bildilər. Təkmil zərərli proqram alətləri dəsti ilə bu aktyor Yaxın Şərq və Cənubi Asiyada ictimai və diplomatik təşkilatlara hücumlarında yüksək məhsuldar olmuşdur. Zərərli proqram yerləşdirmələrinin bəziləri hələ də inkişaf mərhələsində olduğu üçün kibertəhlükəsizlik qrupları üçün bu aktyorun mümkün hücumlarına diqqət yetirmək çox vacibdir. Ümid edirik ki, təhlilimiz GoldenJackal-ın fəaliyyətinin qarşısını almağa kömək edəcək”.