Bedrohungsakteur GoldenJackal

Ein weniger bekannter Bedrohungsakteur namens GoldenJackal wird mit einer Reihe von Cyberangriffen auf Botschaften und Regierungsstellen in Verbindung gebracht, deren Ziel darin bestand, über zwei verschiedene benutzerdefinierte Toolsets in Air-Gap-Systeme einzudringen.

Zu den Zielen gehörten eine südasiatische Botschaft in Weißrussland und eine Regierungsorganisation innerhalb der Europäischen Union (EU). Das Hauptziel von GoldenJackal scheint der Diebstahl vertraulicher Informationen zu sein, insbesondere von hochrangigen Systemen, die möglicherweise nicht mit dem Internet verbunden sind.

GoldenJackal ist seit Jahren aktiv

GoldenJackal wurde erstmals im Mai 2023 entdeckt, als Forscher über die Angriffe des Bedrohungsclusters berichteten, die sich gegen diplomatische und staatliche Einrichtungen im Nahen Osten und Südasien richteten. Die Aktivitäten der Gruppe lassen sich mindestens bis ins Jahr 2019 zurückverfolgen. Ein bemerkenswerter Aspekt dieser Eindringlinge ist die Bereitstellung eines Wurms namens JackalWorm, der angeschlossene USB-Laufwerke infizieren und einen Trojaner namens JackalControl bereitstellen kann.

Zwar liegen nicht genügend Beweise vor, um diese Aktivitäten eindeutig einer konkreten Bedrohung durch einen Nationalstaat zuzuordnen. Es bestehen jedoch gewisse taktische Ähnlichkeiten mit Schadsoftware, die in Kampagnen eingesetzt werden, die Turla und MoustachedBouncer zugeschrieben werden. Letzterer hatte es ebenfalls auf ausländische Botschaften in Weißrussland abgesehen.

Mehrere Malware-Bedrohungen durch GoldenJackal

Informationssicherheitsexperten identifizierten im August und September 2019 in einer südasiatischen Botschaft in Weißrussland Artefakte, die mit GoldenJackal in Verbindung stehen. Im Juli 2021 kamen weitere Entdeckungen hinzu. Insbesondere setzte der Bedrohungsakteur zwischen Mai 2022 und März 2024 erfolgreich ein vollständig aktualisiertes Toolset gegen eine Regierungsbehörde der Europäischen Union ein.

Die Raffinesse, mit der die Gruppe über einen Zeitraum von fünf Jahren zwei unterschiedliche Tool-Sets entwickelt und eingesetzt hat, die speziell für die Kompromittierung von Air-Gap-Systemen konzipiert sind, unterstreicht den Einfallsreichtum der Gruppe.

Beim Angriff auf die südasiatische Botschaft in Weißrussland kamen neben JackalControl, JackalSteal und JackalWorm angeblich drei verschiedene Malware-Familien zum Einsatz:

• GoldenDealer, das die Bereitstellung ausführbarer Dateien an Air-Gap-Systeme über kompromittierte USB-Laufwerke erleichtert.
• GoldenHowl, eine modulare Hintertür, die Dateien stehlen, geplante Aufgaben erstellen, Dateien von und zu einem Remote-Server hoch- und herunterladen und einen SSH-Tunnel einrichten kann.
• GoldenRobo, ein Tool zum Sammeln von Dateien und zum Exfiltrieren von Daten.

Die neuen Bedrohungstools, die bei Angriffen zum Einsatz kommen

Im Gegensatz dazu wurde bei den Angriffen auf die nicht näher genannte Regierungsorganisation in Europa eine komplett neue Suite von Malware-Tools eingesetzt, die hauptsächlich in Go geschrieben wurden. Diese Tools sind darauf ausgelegt, Dateien von USB-Laufwerken zu sammeln, Malware über USB-Laufwerke zu verbreiten, Daten zu exfiltrieren und bestimmte Maschinenserver als Staging-Server zu nutzen, um Payloads auf andere Hosts zu verteilen:

• GoldenUsbCopy und sein verbesserter Nachfolger GoldenUsbGo überwachen USB-Laufwerke und kopieren Dateien zum Exfiltrieren.
• GoldenAce wird verwendet, um Schadsoftware, einschließlich einer abgespeckten Version von JackalWorm, über USB-Sticks auf andere Systeme (die nicht notwendigerweise per Air-Gap geschützt sind) zu verbreiten.
• GoldenBlacklist und seine Python-Variante GoldenPyBlacklist, die interessante E-Mail-Nachrichten für die zukünftige Exfiltration verarbeitet.
• GoldenMailer, das die gesammelten Daten per E-Mail an Angreifer sendet.
• GoldenDrive, das die gesammelten Informationen auf Google Drive hochlädt.

Derzeit ist noch unklar, wie GoldenJackal die Zielumgebungen zunächst kompromittiert. Forscher haben jedoch zuvor vermutet, dass trojanisierte Skype-Installationsprogramme und beschädigte Microsoft Word-Dokumente als mögliche Einstiegspunkte dienen könnten.

Wie verlaufen die GoldenJackal-Angriffe?

GoldenDealer wird, sobald es über eine unbekannte Methode auf einem mit dem Internet verbundenen Computer installiert wurde, aktiviert, wenn ein USB-Laufwerk eingesteckt wird. Diese Aktion führt dazu, dass sich selbst und eine unbekannte Wurmkomponente auf das Wechselmedium kopiert werden. Es wird angenommen, dass diese unbekannte Komponente ausgeführt wird, wenn das infizierte USB-Laufwerk an ein Air-Gap-System angeschlossen wird. Anschließend sammelt GoldenDealer Informationen über den Computer und speichert sie auf dem USB-Laufwerk.

Wenn das USB-Gerät wieder an den mit dem Internet verbundenen Computer angeschlossen wird, überträgt GoldenDealer die auf dem Laufwerk gespeicherten Informationen an einen externen Server, der dann geeignete Payloads zurücksendet, die auf dem Air-Gap-System ausgeführt werden sollen. Die Malware ist auch dafür verantwortlich, die heruntergeladenen ausführbaren Dateien auf das USB-Laufwerk zu kopieren. Im letzten Schritt, wenn das Gerät wieder an den Air-Gap-Computer angeschlossen wird, führt GoldenDealer die kopierten ausführbaren Dateien aus.

Darüber hinaus läuft GoldenRobo auf dem mit dem Internet verbundenen PC. Es ist darauf ausgelegt, Dateien vom USB-Laufwerk abzurufen und an den vom Angreifer kontrollierten Server zu senden. Diese in Go entwickelte Malware leitet ihren Namen von einem legitimen Windows-Dienstprogramm namens Robocopy ab, das sie zur Durchführung der Dateiübertragungen verwendet.

Bisher haben die Forscher kein separates Modul identifiziert, das für die Übertragung von Dateien vom Air-Gap-Computer auf das USB-Laufwerk selbst verantwortlich ist.

Die Fähigkeit, innerhalb von nur fünf Jahren zwei verschiedene Toolsets für die Kompromittierung von Air-Gap-Netzwerken einzusetzen, zeigt, dass GoldenJackal ein hochentwickelter Bedrohungsakteur ist, der die von seinen Zielen eingesetzten Strategien zur Netzwerksegmentierung versteht.