Zum Hauptinhalt springen
  • Infektionsvektor nutzt Follina-Schwachstelle aus
  • JackalWorm, JackalPerInfo und JackalScreenWatcher als Tools zu Spionagezwecken
  • Bedrohungsakteur im Nahen Osten und Südasien aktiv

Kaspersky hat eine neue APT-Gruppe namens GoldenJackal entdeckt [1], die zwar bereits seit dem Jahr 2019 aktiv ist, jedoch bislang weitgehend unentdeckt geblieben ist. Wie die Untersuchung von Kaspersky zeigt, zielt die Gruppe in erster Linie auf staatliche und diplomatische Einrichtungen im Nahen Osten und Südasien ab.

Seit bereits Mitte des Jahres 2020 beobachtet Kaspersky die Aktivitäten des geschickten und moderat unauffälligen Bedrohungsakteurs. Die APT-Gruppe zeichnet sich durch ein spezielles Toolset aus, mit dem sie die Rechner ihrer Opfer kontrolliert, sich mit Hilfe von Wechsellaufwerken über Systeme verbreitet und bestimmte Dateien von dort extrahieren kann. Die Funktionalitäten deuten darauf hin, dass die Hauptmotivation des Akteurs Spionage ist.

Falsche Skype-Installationsprogramme und schädliche Word-Dokumente als Ausgangsvektoren für Angriffe

Wie Untersuchungen von Kaspersky ergaben, nutzte der APT-Akteur gefälschte Skype-Installationsprogramme und schädliche Word-Dokumente als initiale Angriffsvektoren. Beim gefälschten Skype-Installationsprogramm handelte es sich um eine ausführbare Datei mit einer Größe von etwa 400 MB. Diese bestand aus einem Dropper mit zwei Ressourcen: den JackalControl-Trojaner und ein legitimes Skype-for-Business-Installationsprogramm. Der erste Einsatz dieses Tools konnte in das Jahr 2020 zurückverfolgt werden.

Als weiterer Infektionsvektor diente ein schädliches Dokument, das als Technik Remote-Template-Injection- nutzt, um eine schädliche HTML-Seite herunterzuladen; dieses wiederum nutzt die Follina-Schwachstelle [2] gezielt aus. Dieses Dokument mit dem Namen „Gallery of Officers Who Have Received National and Foreign Awards.docx“ ähnelt auf den ersten Blick einem legitimen Rundschreiben, in dem Informationen über Offiziere angefordert werden, die von der pakistanischen Regierung ausgezeichnet wurden. Am 29. Mai 2022 wurde die erste Beschreibung der Follina-Schwachstelle veröffentlicht. Zwei Tage darauf, am 1. Juni wurde das Dokument modifiziert und am 2. Juni 2022 erstmals entdeckt.

Das Dokument wurde so konfiguriert, dass es ein externes Objekt von einer legitimen und kompromittierten Website lädt. Sobald dieses heruntergeladen ist, wird die ausführbare Datei gestartet, die den JackalControl-Trojaner enthält. Dieser ermöglicht es den Angreifern, Zielcomputer über eine Reihe vordefinierter und unterstützter Befehle fernzusteuern. Über die Jahre hinweg haben die Cyberkriminellen verschiedene Varianten dieser Malware verbreitet: Einige enthalten einen Code, der die Malware lokal befällt, andere wurden so konfiguriert, dass sie ausgeführt werden, ohne das System zu infizieren. In der Regel wird der Rechner durch andere Komponenten infiziert, beispielsweise durch ein Batch-Skript.

Weitere Spionage-Tools von GoldenJackal: JackalSteal, JackalWorm, JackalPerInfo und JackalScreenWatcher

Das zweitwichtigste Tool der APT-Gruppe ist JackalSteal. Damit können USB-Wechsellaufwerke, Remote-Freigaben und alle Laufwerke im Zielsystem überwacht werden. Die Malware kann als Standardprozess oder als eigener Dienst ausgeführt werden. Allerdings kann sie nicht dauerhaft aktiv sein, weshalb sie von einer anderen Komponente installiert werden muss.

Darüber hinaus nutzt GoldenJackal eine Reihe zusätzlicher Tools, wie JackalWorm, JackalPerInfo und JackalScreenWatcher. Dieses Toolset wurde in bestimmten, von Kaspersky-Forschern beobachteten Fällen eingesetzt und zielt darauf ab, die Rechner der Opfer zu kontrollieren, ihre Anmeldedaten zu stehlen oder auch Screenshots des Desktops anzufertigen.

„GoldenJackal ist ein interessanter APT-Akteur, der versucht, möglichst unauffällig zu bleiben. Obwohl er seine Aktivitäten bereits im Juni 2019 aufnahm, ist es ihm gelungen, lange unentdeckt zu bleiben“, kommentiert Giampaolo Dedola, Sicherheitsexperte beim Global Research & Analysis Team (GReAT) von Kaspersky. „Die APT-Gruppe verfügt über ein fortschrittliches Malware-Toolset, das sie häufig bei Angriffen auf Regierungs- und Behördeneinrichtungen im Nahen Osten und in Südasien eingesetzt haben. Da sich manche der Malware-Implantate noch in der Entwicklungsphase befinden, sollten Cybersicherheitsteams unbedingt auf mögliche Angriffe durch diesen Bedrohungsakteur achten. Wir hoffen, dass unsere Analyse dazu beiträgt, Angriffe von GoldenJackal zu verhindern.“

Der vollständige Kaspersky-Bericht über die APT-Gruppe GoldenJackal ist verfügbar unter https://securelist.com/goldenjackal-apt-group/109677/

Kaspersky-Empfehlungen zum Schutz vor zielgerichteten Angriffen eines bekannten oder unbekannten Bedrohungsakteurs

  • Dem SOC-Team den Zugriff auf die neuesten Bedrohungsdaten (TI) ermöglichen. Das Kaspersky Threat Intelligence Portal ermöglicht dem SOC-Team den Zugriff auf die TI des Unternehmens [3] und bietet Cyberangriffsdaten und Erkenntnisse, die Kaspersky in über 25 Jahren gesammelt hat.
  • Das Cybersecurity-Team mittels der von GReAT (Global Research & Analysis Team bei Kaspersky) entwickelten Kaspersky-Online-Schulungen [4] auf die neuesten Cyberbedrohungen vorbereiten.
  • Eine EDR-Lösung wie Kaspersky Endpoint Detection and Response [5] für die frühzeitige Erkennung, Untersuchung und Behebung von Vorfällen auf Endpunktebene installieren.
  • Zusätzlich zum grundlegenden Endpunktschutz eine Sicherheitslösung auf Unternehmensebene verwenden, die fortgeschrittene Bedrohungen auf Netzwerkebene frühzeitig erkennt, wie beispielsweise Kaspersky Anti Targeted Attack Platform [6].
  • Schulungen zum Sicherheitsbewusstsein wie beispielsweise Kaspersky Automated Security Awareness Platform [7] anbieten, um Mitarbeitern grundlegende Cybersicherheitspraktiken zu vermitteln.

 

[1] https://securelist.com/goldenjackal-apt-group/109677/

[2] https://securelist.com/cve-2022-30190-follina-vulnerability-in-msdt-description-and-counteraction/106703/

[3] https://go.kaspersky.com/test-threat-intelligence-de.html

[4] https://xtraining.kaspersky.com/

[5] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr

[6] https://www.kaspersky.de/enterprise-security/anti-targeted-attack-platform

[7] https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform

 

Nützliche Links:

 



APT-Gruppe GoldenJackal spioniert diplomatische Einrichtungen aus

Untersuchung zeigen, Ziele sind in erster Linie staatliche und diplomatische Einrichtungen im Nahen Osten und in Südasien
Kaspersky Logo