GoldenJackal APT 组织入侵欧洲的空气屏蔽系统

阅读量46845

发布时间 : 2024-10-14 15:49:05

x
译文声明

本文是翻译文章,文章原作者 Help Net Security,文章来源:helpnetsecurity

原文地址:https://www.helpnetsecurity.com/2024/10/09/goldenjackal-air-gapped-systems-compromise/

译文仅供参考,具体内容表达以及含义原文为准。

ESET 研究人员发现,从 2022 年 5 月到 2024 年 3 月,欧洲发生了一系列攻击事件,攻击者使用的工具集能够攻击欧盟某国政府组织的空中屏蔽系统。

网络间谍活动旨在从孤立网络中窃取敏感数据
ESET 认为该网络间谍活动是 GoldenJackal 所为,这是一个以政府和外交实体为目标的网络间谍 APT 组织。通过分析该组织部署的工具集,ESET 发现 GoldenJackal 早在 2019 年就针对南亚驻白俄罗斯大使馆实施过一次攻击,该攻击利用定制工具瞄准了大使馆的空中屏蔽系统。

GoldenJackal 的最终目标很可能是窃取机密和高度敏感的信息,尤其是从可能没有连接到互联网的高端机器上窃取信息。

为了最大限度地降低泄密风险,高度敏感的网络通常都会进行空气隔离,即与其他网络隔离。通常,企业会对其最有价值的系统(如投票系统和运行电网的工业控制系统)进行空气隔离。这些网络往往正是攻击者感兴趣的网络。与攻破互联网连接的系统相比,攻破空气屏蔽网络的资源密集程度要高得多,这意味着迄今为止,专门用于攻击空气屏蔽网络的框架都是由 APT 组织开发的。此类攻击的目的始终是间谍活动。

“2022年5月,我们发现了一个工具集,我们无法将其归属于任何APT组织。但是,一旦攻击者使用了一种与已公开记录的工具类似的工具,我们就能深入挖掘,发现公开记录的 GoldenJackal 工具集与这种新工具集之间存在联系。ESET研究员马蒂亚斯-波罗利(Matías Porolli)分析了GoldenJackal的工具集,他说:”据此推断,我们设法确定了早先的一次攻击,在那次攻击中部署了公开文档中的工具集,以及一个更早的工具集,该工具集也具有攻击空中封闭系统的功能。

GoldenJackal 的目标是欧洲、中东和南亚的政府实体
GoldenJackal 一直以欧洲、中东和南亚的政府机构为目标。ESET 于 2019 年 8 月和 9 月在南亚驻白俄罗斯大使馆检测到 GoldenJackal 工具,并于 2021 年 7 月再次检测到 GoldenJackal 工具。最近,根据 ESET 的遥测数据,从 2022 年 5 月到 2024 年 3 月,欧洲的另一个政府组织多次成为攻击目标。

就所需的复杂程度而言,GoldenJackal 在五年内成功部署了两个不同的工具集来入侵空气屏蔽系统,这是很不寻常的。这说明了该组织的足智多谋。针对南亚驻白俄罗斯大使馆的攻击使用了定制工具,迄今为止我们只在这一特定案例中见过。该活动使用了三个主要组件: GoldenDealer 用于通过 USB 监控将可执行文件发送到空气屏蔽系统;GoldenHowl 是一个具有各种功能的模块化后门;GoldenRobo 是一个文件收集器和外泄器。

“当受害者将被入侵的 U 盘插入空气屏蔽系统,并点击一个名为文件夹图标但实际上是恶意可执行文件的组件时,GoldenDealer 就会被安装并运行,开始收集空气屏蔽系统的信息,并将其存储在 U 盘中。当再次将 U 盘插入联网的电脑时,GoldenDealer 就会从 U 盘中获取有关空气屏蔽电脑的信息,并将其发送到 C&C 服务器。服务器会回复一个或多个可执行文件,以便在空气屏蔽电脑上运行。最后,当 U 盘再次插入被窃电脑时,GoldenDealer 就会从 U 盘中取出并运行这些可执行文件。由于 GoldenDealer 已经在运行,因此不需要用户交互。

在最近一系列针对欧盟某政府组织的攻击中,GoldenJackal 从最初的工具集转向了高度模块化的新工具集。这种模块化方法不仅适用于恶意工具,也适用于受害主机在被入侵系统中的角色:它们被用于收集和处理有趣的、可能是机密的信息,向其他系统分发文件、配置和命令,以及外泄文件等。

本文翻译自helpnetsecurity 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66