कॅस्परस्कीने एक नवीन सायबर क्राइम ग्रुप शोधला आहे. गोल्डनजॅकल नावाचा हा गट 2019 पासून सक्रिय आहे परंतु त्याचे कोणतेही सार्वजनिक प्रोफाइल नाही आणि मुख्यत्वे एक रहस्य आहे. संशोधनातून मिळालेल्या माहितीनुसार, हा गट प्रामुख्याने मध्य पूर्व आणि दक्षिण आशियातील सार्वजनिक आणि राजनयिक संस्थांना लक्ष्य करतो.
कॅस्परस्कीने 2020 च्या मध्यात GoldenJakal चे निरीक्षण सुरू केले. हा गट कुशल आणि माफक पांघरूण असलेल्या धोक्याच्या अभिनेत्याशी संबंधित आहे आणि क्रियाकलापांचा सतत प्रवाह प्रदर्शित करतो. गटाचे मुख्य वैशिष्ट्य म्हणजे त्यांचे लक्ष्य संगणक हायजॅक करणे, काढता येण्याजोग्या ड्राइव्हद्वारे प्रणालींमध्ये पसरवणे आणि काही फाइल्स चोरणे हे आहे. हे दर्शविते की धमकी देणाऱ्या अभिनेत्याचे मुख्य हेतू हेरगिरी आहेत.
कॅस्परस्कीच्या संशोधनानुसार, धमकी देणारा अभिनेता हल्ल्यासाठी प्रारंभिक वेक्टर म्हणून बनावट स्काईप इंस्टॉलर आणि दुर्भावनापूर्ण वर्ड दस्तऐवज वापरतो. बनावट स्काईप इंस्टॉलरमध्ये अंदाजे 400 MB ची एक्झिक्यूटेबल फाइल असते आणि त्यात JackalControl Trojan आणि कायदेशीर Skype for Business इंस्टॉलर असते. या साधनाचा पहिला वापर 2020 चा आहे. आणखी एक संसर्ग वेक्टर दुर्भावनापूर्ण दस्तऐवजावर आधारित आहे जो फॉलिना असुरक्षिततेचे शोषण करतो, उद्देशाने तयार केलेले HTML पृष्ठ डाउनलोड करण्यासाठी रिमोट टेम्प्लेट इंजेक्शन तंत्र वापरतो.
दस्तऐवजाचे शीर्षक आहे “गॅलरी ऑफ ऑफिसर्स हू हॅव हॅव नॅशनल अँड फॉरेन अवॉर्ड्स.docx” आणि पाकिस्तान सरकारने दिलेल्या अधिकार्यांची माहिती मागणारे एक वैध परिपत्रक असल्याचे दिसते. फॉलिना असुरक्षिततेची माहिती प्रथम 29 मे 2022 रोजी सामायिक केली गेली होती आणि नोंदीनुसार, असुरक्षा रिलीज झाल्यानंतर दोन दिवसांनी 1 जून रोजी दस्तऐवज बदलण्यात आला होता. दस्तऐवज प्रथम 2 जून रोजी आढळला होता. वैध आणि तडजोड केलेल्या वेबसाइटवरून बाह्य ऑब्जेक्ट लोड करण्यासाठी कॉन्फिगर केलेले बाह्य दस्तऐवज ऑब्जेक्ट डाउनलोड केल्यानंतर JackalControl ट्रोजन मालवेअर असलेले एक्झिक्युटेबल लाँच करणे.
जॅकलकंट्रोल हल्ला, दूरस्थपणे नियंत्रित
जॅकलकंट्रोल हल्ला हा मुख्य ट्रोजन म्हणून काम करतो जो आक्रमणकर्त्यांना दूरस्थपणे लक्ष्य मशीन नियंत्रित करण्यास अनुमती देतो. वर्षानुवर्षे, आक्रमणकर्ते या मालवेअरचे विविध प्रकार वितरित करत आहेत. काही व्हेरियंटमध्ये त्यांचे स्थायीत्व राखण्यासाठी अतिरिक्त कोड असतात, तर काही सिस्टमला संक्रमित न करता ऑपरेट करण्यासाठी कॉन्फिगर केलेले असतात. बॅच स्क्रिप्ट्स सारख्या इतर घटकांद्वारे मशीन्स अनेकदा संक्रमित होतात.
गोल्डनजॅकल ग्रुपद्वारे मोठ्या प्रमाणावर वापरले जाणारे दुसरे महत्त्वाचे साधन म्हणजे जॅकलस्टील. हे साधन काढता येण्याजोग्या यूएसबी ड्राइव्हस्, रिमोट शेअर्स आणि लक्ष्यित सिस्टममधील सर्व लॉजिकल ड्राइव्हचे परीक्षण करण्यासाठी वापरले जाऊ शकते. मालवेअर एक मानक प्रक्रिया किंवा सेवा म्हणून चालू शकते. तथापि, ते त्याचे सातत्य राखू शकत नाही आणि म्हणून दुसर्या घटकाद्वारे लोड करणे आवश्यक आहे.
शेवटी, GoldenJackal अनेक अतिरिक्त साधनांचा वापर करते जसे की JackalWorm, JackalPerInfo आणि JackalScreenWatcher. कॅस्परस्की संशोधकांनी पाहिलेल्या विशिष्ट परिस्थितींमध्ये ही साधने वापरली जातात. या टूलकिटचे उद्दिष्ट पीडितांच्या मशीन्सवर नियंत्रण ठेवणे, क्रेडेन्शियल्स चोरणे, डेस्कटॉपचे स्क्रीनशॉट घेणे आणि अंतिम लक्ष्य म्हणून हेरगिरीची प्रवृत्ती सूचित करणे हे आहे.
कॅस्परस्की ग्लोबल रिसर्च अँड अॅनालिसिस टीम (GReAT) चे वरिष्ठ सुरक्षा संशोधक जियाम्पाओलो डेडोला म्हणाले:
“गोल्डनजॅकल हा एक मनोरंजक एपीटी अभिनेता आहे जो त्याच्या कमी व्यक्तिरेखेमुळे नजरेपासून दूर राहण्याचा प्रयत्न करतो. जून 2019 मध्ये प्रथम ऑपरेशन सुरू असूनही, ते लपून राहण्यात यशस्वी झाले आहेत. प्रगत मालवेअर टूलकिटसह, हा अभिनेता मध्य पूर्व आणि दक्षिण आशियातील सार्वजनिक आणि मुत्सद्दी संस्थांवर त्याच्या हल्ल्यांमध्ये अत्यंत फलदायी ठरला आहे. काही मालवेअर एम्बेड्स अद्याप विकसित होत असल्याने, सायबर सुरक्षा संघांसाठी या अभिनेत्याच्या संभाव्य हल्ल्यांवर लक्ष ठेवणे महत्त्वाचे आहे. आम्हाला आशा आहे की आमचे विश्लेषण गोल्डनजॅकलच्या क्रियाकलापांना प्रतिबंधित करण्यात मदत करेल.”