Der folgende Text stammt aus einer Pressemitteilung und gibt in keiner Weise die Meinung der Redaktion wieder.
• Bei einem weiteren Angriff setzte GoldenJackal von Mai 2022 bis März 2024 mehrfach hochmodulare Tools gegen die Regierungsorganisation eines EU-Landes ein.
• Diese Tools bieten GoldenJackal umfassende Möglichkeiten zur Kompromittierung und zum Verbleib in Zielnetzwerken. Die Opfersysteme übernehmen dann verschiedene Rollen im lokalen Netzwerk, von der Sammlung interessanter, vertraulicher Informationen über die Verarbeitung der Informationen bis hin zur Verteilung von Dateien, Konfigurationen und Befehlen an andere Systeme oder der Exfiltration von Dateien.
• Das ultimative Ziel von GoldenJackal dürfte der Diebstahl vertraulicher Informationen sein, insbesondere von High-Level-Maschinen, die absichtlich vom Internet isoliert wurden.
MONTREAL, BRATISLAVA, 7. Oktober 2024 – ESET Research hat eine Reihe von Angriffen entdeckt, die zwischen Mai 2022 und März 2024 in Europa stattfanden und bei denen Angreifer eine Reihe von Tools verwendeten, die in der Lage waren, isolierte Systeme einer Regierungsorganisation einer EU anzugreifen Land. ESET schreibt die Kampagne GoldenJackal zu, einer APT-Cyberspionagegruppe, die es auf staatliche und diplomatische Einheiten abgesehen hat. Durch die Analyse des eingesetzten Toolsets identifizierte ESET einen früheren GoldenJackal-Angriff im Jahr 2019 gegen eine südasiatische Botschaft in Weißrussland. Es zielte mit maßgeschneiderten Tools auf die isolierten Systeme der Botschaft ab. Das ultimative Ziel von GoldenJackal ist höchstwahrscheinlich der Diebstahl vertraulicher und sensibler Informationen, insbesondere von bekannten Computern, die möglicherweise nicht mit dem Internet verbunden sind. ESET Research präsentierte diese Ergebnisse auf der Virus Bulletin 2024-Konferenz.
Um das Risiko einer Kompromittierung zu verringern, werden hochsensible Netzwerke häufig von anderen Netzwerken isoliert. Unternehmen isolieren in der Regel ihre wertvollsten Systeme, beispielsweise industrielle Abstimmungs- und Steuerungssysteme zur Verwaltung von Stromnetzen. Generell sind diese Netzwerke für Angreifer interessant. Die Kompromittierung eines isolierten Netzwerks erfordert weitaus mehr Ressourcen als das Hacken eines mit dem Internet verbundenen Systems. Das bedeutet, dass Systeme, die isolierte Netzwerke angreifen sollen, bisher ausschließlich von APT-Gruppen entwickelt wurden. Das Ziel dieser Angriffe ist immer Spionage.
„Im Mai 2022 entdeckten wir Tools, die wir keiner APT-Gruppe zuordnen konnten. Als die Angreifer jedoch ein Tool verwendeten, das einem bereits dokumentierten ähnelte, konnten wir tiefer graben und eine Verbindung zwischen dem öffentlich dokumentierten Toolset von GoldenJackal und diesem Neuling entdecken. Als Extrapolation haben wir einen früheren Angriff identifiziert, bei dem der gesamte Satz dokumentierter Tools sowie ältere Tools eingesetzt wurden, die auch die Möglichkeit hatten, isolierte Systeme anzugreifen“, erklärt ESET-Forscher Matías Porolli, der GoldenJackal-Tools analysiert hat.
GoldenJackal richtet sich an Regierungsstellen in Europa, dem Nahen Osten und Südasien. Im August und September 2019 sowie erneut im Juli 2021 entdeckte ESET GoldenJackal-Werkzeuge in einer südasiatischen Botschaft in Weißrussland. Kürzlich wurde laut ESET-Telemetrie von Mai 2022 bis März 2024 eine weitere EU-Regierungsorganisation mehrfach angegriffen.
Aufgrund der erforderlichen Komplexität ist es ziemlich ungewöhnlich, dass GoldenJackal es in fünf Jahren geschafft hat, nicht nur ein, sondern zwei separate Toolsets einzusetzen, um isolierte Systeme zu kompromittieren. Dies beweist den Einfallsreichtum der Gruppe. Bei den Angriffen auf eine südasiatische Botschaft in Weißrussland wurden noch nie dagewesene Spezialwerkzeuge eingesetzt. Die Kampagne bestand aus drei Hauptkomponenten: GoldenDealer lieferte ausführbare Dateien über USB-Überwachung an das isolierte System; GoldenHowl, eine modulare Hintertür mit verschiedenen Funktionen und GoldenRobo zum Sammeln und Exfiltrieren von Dateien.
„Wenn ein Opfer ein kompromittiertes USB-Laufwerk in ein isoliertes System einfügt und auf eine Komponente mit einem Ordnersymbol klickt, bei der es sich jedoch tatsächlich um eine bösartige ausführbare Datei handelt, wird GoldenDealer installiert und ausgeführt und beginnt, Informationen über das isolierte System zu sammeln und diese auf dem USB-Stick zu speichern Stock. Beim erneuten Einstecken des Sticks in den mit dem Internet verbundenen PC ruft GoldenDealer die Informationen über den isolierten PC vom USB-Stick ab und sendet sie an den C&C-Server. Wenn der Schlüssel erneut in diesen PC eingeführt wird, ruft GoldenDealer die ausführbaren Dateien vom Schlüssel ab und führt sie aus. Es ist keine Benutzerinteraktion erforderlich, da GoldenDealer bereits läuft“, erklärt Porolli.
Bei seiner jüngsten Angriffsrunde gegen eine EU-Regierungsorganisation hat GoldenJackal sein ursprüngliches Toolset zugunsten eines neuen, hochmodularen Sets aufgegeben. Dieser modulare Ansatz galt nicht nur für bösartige Tools, sondern auch für die Rollen der Opfer-Hosts innerhalb des kompromittierten Systems. Diese Hosts wurden unter anderem dazu verwendet, wertvolle, vertrauliche Informationen zu sammeln und zu verarbeiten, Dateien, Konfigurationen und Befehle an andere Systeme zu verteilen und Dateien zu exfiltrieren.
Einen detaillierteren Einblick und eine technische Analyse der Tools von GoldenJackal finden Sie im neuesten Blog von ESET Research „Mind the (air) gap: GoldenJackal goes Government Guardrails“ unter www.welivesecurity.com. Folgen Sie ESET Research auch auf Twitter (heute bekannt als X), um die neuesten Nachrichten von ESET Research zu erhalten.
ÜBER ESET ESET® bietet branchenführende Sicherheit, um Angriffe zu verhindern, bevor sie passieren. Mit der Kraft von KI und menschlichem Fachwissen bleibt ESET bekannten und aufkommenden Bedrohungen einen Schritt voraus und sichert Mobilgeräte. Seine KI-gestützten und Cloud-fokussierten Lösungen und Dienste sind effektiv und einfach zu bedienen. Die ESET-Technologie umfasst robuste Erkennung und Reaktion, hochsichere Verschlüsselung und Multi-Faktor-Authentifizierung. Mit Echtzeitschutz rund um die Uhr und starkem lokalen Support sorgt ESET dafür, dass Benutzer und Unternehmen unterbrechungsfrei geschützt sind. Eine sich ständig verändernde digitale Landschaft erfordert einen fortschrittlichen Sicherheitsansatz: ESET verfügt über erstklassige Forschung und leistungsstarke Bedrohungsinformationen, unterstützt von Forschungs- und Entwicklungszentren sowie einem globalen Netzwerk von Partnern. Weitere Informationen: www.eset.com oder LinkedIn, Facebook, X und https://www.eset.com/be-fr/.
Related News :