Two never-before-seen tools, from same group, infect air-gapped devices

Source: https://arstechnica.com/security/2024/10/two-never-before-seen-tools-from-same-group-infect-air-gapped-devices/

More info: https://www.welivesecurity.com/en/eset-research/mind-air-gap-goldenjackal-gooses-government-guardrails/

Die APT-Gruppe GoldenJackal greift erfolgreich Ziele in Europa an, die durch Air Gaps gut geschützt sind. Die Schadsoftware verbreitete sich über USB-Sticks auf Systeme, die komplett vom Internet isoliert waren. Vermutlich wollten die Angreifer so hochsensible Daten erlangen. Die mysteriöse APT-Gruppe GoldenJackal hat Rechner von hochrangigen Zielen in Europa angegriffen. Zwischen August 2019 und März 2024 nahmen die Hacker eine südasiatische Botschaft in Belarus und wiederholt eine EU-Regierungsorganisation ins Visier. Forscher des IT-Sicherheitsherstellers ESET haben die Angriffe aufgedeckt. Die betroffenen Systeme waren komplett vom Internet isoliert, um Cyberattacken zu verhindern. IT-Profis sprechen hier von einem Air Gap. Um diese Sicherheitsmaßnahme zu umgehen, gingen die Hacker raffiniert vor: Sie setzten eine Schadsoftware ein, die sich über USB-Sticks verbreitete und in weiten Teilen ohne Internetzugang funktionierte. Ziel waren höchstwahrscheinlich vertrauliche und hochsensible Informationen auf infizierten Geräten. „Je stärker Daten gesichert sind, desto interessanter werden sie für Cyberkriminelle“, sagt ESET Forscher Matías Porolli, der die Schadsoftware untersucht hat. „Für Kriminelle ist es äußerst schwierig, an Informationen zu gelangen, wenn sie nicht über das Internet darauf zugreifen können. Die aktuellen Attacken zeigen allerdings, dass auch isolierte Computer keine Wunderwaffe gegen Hacker sind – ein verseuchter USB-Stick reicht aus, um sensible Daten zu gefährden.“ Über GoldenJackal ist nicht viel bekannt außer, dass die Gruppe seit 2019 aktiv ist und sich auf die Spionage von diplomatischen Einrichtungen in Europa, dem Mittleren Osten und Südasien spezialisiert hat. So konnten die GoldenJackal-Hacker den virtuellen Burggraben überwinden Die Hacker infizieren einen PC, der mit dem Internet verbunden ist, mit einem unbekannten Computerwurm und „GoldenDealer“. Dabei handelt es sich um eine Malware, die weitere schadhafte Dateien auf Rechnern hinter Air Gaps installieren kann. Wie genau die erste Infektion mit diesen Komponenten stattfindet, ist unbekannt. Jedes Mal, wenn ein USB-Laufwerk (z. B. ein USB-Stick) an einen infizierten Computer angeschlossen wird, kopiert der Wurm sich selbst und die GoldenDealer-Komponente darauf. Verbindet ein Nutzer diesen USB-Stick in einen Computer hinter einem Air Gap ein, sieht er eine Datei mit dem Symbol eines regulären Dateiordners. Klickt er darauf, um ihn zu öffnen, führt er unwissentlich GoldenDealer aus und installiert das Programm. Dieses sammelt dann Informationen über das abgekapselte System und speichert sie auf dem USB-Laufwerk. Wird der Stick danach in den PC mit Internetzugriff eingesteckt, sendet GoldenDealer die Informationen an einen Server der Hacker. Dieser antwortet mit einer oder mehreren Dateien, die auf dem ausspionierten PC ausgeführt werden sollen. Sobald der Nutzer den Stick wieder mit dem PC verbindet, führt GoldenDealer diesen Befehl aus. Hierbei ist keine weitere Benutzerinteraktion erforderlich. Maßgeschneiderte Malware GoldenJackal hat in den letzten fünf Jahren zwei verschiedene Varianten von Schadsoftware verwendet, um Systeme hinter Air Gaps zu kompromittieren. Bei den Angriffen auf die südasiatische Botschaft in Belarus 2019 kam maßgeschneiderte Schadsoftware zum Einsatz, die neben GoldenDealer weitere Komponenten auf Zielrechnern installierte: GoldenHowl, eine Backdoor mit verschiedenen Funktionen sowie GoldenRobo, einen Dateisammler und -exfiltrator. Bei der jüngsten Angriffsserie gegen die Regierungsorganisation in der Europäischen Union ging GoldenJackal zu einer hochgradig modularen Schadsoftware über. Dieser Ansatz galt nicht nur für die Komponenten, sondern auch für die Rollen der betroffenen Hosts innerhalb des kompromittierten Systems: Sie wurden unter anderem zum Sammeln und Verarbeiten interessanter Informationen, zum Verteilen von Dateien, Konfigurationen und Befehlen an andere Systeme und zum Ableiten von Dateien verwendet. Diese Herangehensweise spricht für eine hohe technische Raffinesse der Gruppe. Was sind Air Gaps? Um das Risiko einer Kompromittierung zu minimieren, erhalten hochsensible Netzwerke oft einen Air Gap, und werden somit von anderen Netzwerken isoliert. In der Regel kapseln Unternehmen ihre wertvollsten Systeme ab, wie z. B. industrielle Kontrollsysteme für Stromnetze. Besonders Organisationen der kritischen Infrastruktur setzen deswegen auf Air Gaps. Dies sind oft genau die Netzwerke, die für Angreifer interessant sind. Attacken auf Air-Gapped-Netzwerke sind wesentlich ressourcenintensiver als das Eindringen in ein mit dem Internet verbundenes System. Das prädestiniert vor allem APT-Gruppen für solche Aktionen. Ziel ist immer Cyberspionage.   Passende Artikel zum Thema   Read the full article

GoldenJackal, según ESET, siguió utilizando estas herramientas hasta enero de este año. El flujo básico del ataque es, en primer lugar, infectar un dispositivo conectado a Internet a través de un medio que ESET y Kaspersky no han podido determinar. A continuación, el equipo infectado infecta cualquier unidad externa que se inserte. Cuando la unidad infectada se conecta a un sistema con espacio de aire, recopila y almacena datos de interés. Por último, cuando la unidad se inserta en el dispositivo conectado a Internet, los datos se transfieren a un servidor controlado por el atacante.

“Su objetivo es conseguir que los datos de los sistemas aislados sean difíciles de obtener y pasar desapercibidos tanto como sea posible”, escribió en una entrevista Costin Raiu, un investigador que trabajaba en Kaspersky en el momento en que se estaba investigando GoldenJackal. “Los múltiples mecanismos de exfiltración indican que se trata de un conjunto de herramientas muy flexible que puede adaptarse a todo tipo de situaciones. Estas numerosas herramientas indican que se trata de un marco altamente personalizable en el que se implementa exactamente lo que se necesita, a diferencia de un malware multipropósito que puede hacer cualquier cosa”.

THN Cybersecurity Recap: Top Threats, Tools and Trends (Oct 7 - Oct 13)

Hey there, it’s your weekly dose of “what the heck is going on in cybersecurity land” – and trust me, you NEED to be in the loop this time. We’ve got everything from zero-day exploits and AI gone rogue to the FBI playing crypto kingpin – it’s full of stuff they don’t 🤫 want you to know. So let’s jump in before we get FOMO. ⚡ Threat of the Week GoldenJackal Hacks Air-Gapped Systems: Meet

GoldenJackal jumps the air gap … twice – Week in security with Tony Anscombe

http://securitytc.com/TFGJVl

Two never-before-seen instruments, from similar group, infect air-gapped units

The evolution of the package from 2019 and the one from three years later underscores a rising sophistication by GoldenJackal builders. The primary technology offered a full suite of capabilities, together with: GoldenDealer, a element that delivers malicious executables to air-gapped programs over USB drives GoldenHowl, a backdoor that incorporates numerous modules for a mixture of malicious…

Dos herramientas nunca antes vistas, del mismo grupo, infectan dispositivos con espacios de aire

Los componentes del último conjunto de herramientas de GoldenJackal. Crédito: ESET Los componentes del último conjunto de herramientas de GoldenJackal. Crédito: ESET El conjunto de herramientas recién descubierto se compone de muchos componentes básicos diferentes, escritos en múltiples idiomas y capacidades. El objetivo general parece ser una mayor flexibilidad y resistencia en caso de que el…

El grupo APT GoldenJackal implementa puertas traseras para sistemas con espacios de aire Varios descubrimientos hechos po... https://ujjina.com/el-grupo-apt-goldenjackal-implementa-puertas-traseras-para-sistemas-con-espacios-de-aire/?feed_id=791529&_unique_id=67064cd92c809

European govt air-gapped systems breached using custom malware

https://www.welivesecurity.com/en/eset-research/mind-air-gap-goldenjackal-gooses-government-guardrails/

Goldschakal nimmt Botschaften und abgeschottete Systeme mit Malware-Tools ins Visier

Ein wenig bekannter Bedrohungsakteur namens GoldenJackal wurde mit einer Reihe von Cyberangriffen in Verbindung gebracht, die auf Botschaften und Regierungsorganisationen abzielen, um mithilfe von zwei unterschiedlichen, maßgeschneiderten Toolsets in nicht vernetzte Systeme einzudringen. Zu den Opfern gehörten eine südasiatische Botschaft in Belarus und eine Regierungsorganisation der…

Meet the GoldenJackal APT group. Don’t expect any howls

Source: https://securelist.com/goldenjackal-apt-group/109677/

APT GoldenJackal: Spionage bei diplomatischen Einrichtungen

Die APT-Gruppe GoldenJackal wurde von Kaspersky entdeckt, sie ist aber wohl seit 2019 aktiv. Wie die Untersuchung zeigt, zielt die Gruppe in erster Linie auf staatliche und diplomatische Einrichtungen ab. Als Infektionsvektor nutzt GoldenJackal die Follina-Schwachstelle aus. Seit bereits Mitte des Jahres 2020 beobachtet Kaspersky die Aktivitäten des geschickten und moderat unauffälligen Bedrohungsakteurs. Die APT-Gruppe zeichnet sich durch ein spezielles Toolset aus, mit dem sie die Rechner ihrer Opfer kontrolliert, sich mit Hilfe von Wechsellaufwerken über Systeme verbreitet und bestimmte Dateien von dort extrahieren kann. Die Funktionalitäten deuten darauf hin, dass die Hauptmotivation des Akteurs Spionage ist. Verseuchte Skype-Installationen und Word-Docs Wie Untersuchungen von Kaspersky ergaben, nutzte der APT-Akteur gefälschte Skype-Installationsprogramme und schädliche Word-Dokumente als initiale Angriffsvektoren. Beim gefälschten Skype-Installationsprogramm handelte es sich um eine ausführbare Datei mit einer Größe von etwa 400 MB. Diese bestand aus einem Dropper mit zwei Ressourcen: den JackalControl-Trojaner und ein legitimes Skype-for-Business-Installationsprogramm. Der erste Einsatz dieses Tools konnte in das Jahr 2020 zurückverfolgt werden. Als weiterer Infektionsvektor diente ein schädliches Dokument, das als Technik Remote-Template-Injection- nutzt, um eine schädliche HTML-Seite herunterzuladen; dieses wiederum nutzt die Follina-Schwachstelle gezielt aus. Dieses Dokument mit dem Namen „Gallery of Officers Who Have Received National and Foreign Awards.docx“ ähnelt auf den ersten Blick einem legitimen Rundschreiben, in dem Informationen über Offiziere angefordert werden, die von der pakistanischen Regierung ausgezeichnet wurden. Am 29. Mai 2022 wurde die erste Beschreibung der Follina-Schwachstelle veröffentlicht. Zwei Tage darauf, am 1. Juni wurde das Dokument modifiziert und am 2. Juni 2022 erstmals entdeckt. Follina-Schwachstelle als Gehilfe Das Dokument wurde so konfiguriert, dass es ein externes Objekt von einer legitimen und kompromittierten Website lädt. Sobald dieses heruntergeladen ist, wird die ausführbare Datei gestartet, die den JackalControl-Trojaner enthält. Dieser ermöglicht es den Angreifern, Zielcomputer über eine Reihe vordefinierter und unterstützter Befehle fernzusteuern. Über die Jahre hinweg haben die Cyberkriminellen verschiedene Varianten dieser Malware verbreitet: Einige enthalten einen Code, der die Malware lokal befällt, andere wurden so konfiguriert, dass sie ausgeführt werden, ohne das System zu infizieren. In der Regel wird der Rechner durch andere Komponenten infiziert, beispielsweise durch ein Batch-Skript. Weitere Spionage-Tools Das zweitwichtigste Tool der APT-Gruppe ist JackalSteal. Damit können USB-Wechsellaufwerke, Remote-Freigaben und alle Laufwerke im Zielsystem überwacht werden. Die Malware kann als Standardprozess oder als eigener Dienst ausgeführt werden. Allerdings kann sie nicht dauerhaft aktiv sein, weshalb sie von einer anderen Komponente installiert werden muss. Darüber hinaus nutzt GoldenJackal eine Reihe zusätzlicher Tools, wie JackalWorm, JackalPerInfo und JackalScreenWatcher. Dieses Toolset wurde in bestimmten, von Kaspersky-Forschern beobachteten Fällen eingesetzt und zielt darauf ab, die Rechner der Opfer zu kontrollieren, ihre Anmeldedaten zu stehlen oder auch Screenshots des Desktops anzufertigen.     Passende Artikel zum Thema Lesen Sie den ganzen Artikel

#Teknoloji

GoldenJackal Target Embassies and Air-Gapped Systems Using Malware Toolsets

A little-known threat actor tracked as GoldenJackal has been linked to a series of cyber attacks targeting embassies and governmental organizations with an aim to infiltrate air-gapped systems using two disparate bespoke toolsets. Victims included a South Asian embassy in Belarus and a European Union government (E.U.) organization, Slovak cybersecurity company ESET said. “The ultimate goal of

#Teknoloji

Moscow-adjacent GoldenJackal gang strikes air-gapped systems with custom malware

http://securitytc.com/TF9ryZ