GoldenJackal 脅威アクター
GoldenJackal として知られるあまり知られていない脅威アクターは、2 つの異なるカスタム ツールセットを通じてエアギャップ システムに侵入することを目的として、大使館や政府機関を狙った一連のサイバー攻撃に関与していると言われています。
標的にはベラルーシにある南アジア諸国の大使館や欧州連合 (EU) 内の政府機関などが含まれています。GoldenJackal の主な目的は、特にインターネットから切断されたままになっている可能性のある重要なシステムから機密情報を盗むことのようです。
目次
GoldenJackalは長年活動している
GoldenJackal が初めて特定されたのは 2023 年 5 月で、研究者らが中東および南アジアの外交機関や政府機関を標的としたこの脅威クラスターの攻撃を報告した時でした。このグループの活動は少なくとも 2019 年まで遡ることができます。これらの侵入の注目すべき点は、接続された USB ドライブに感染し、JackalControl と呼ばれるトロイの木馬を配信する JackalWorm と呼ばれるワームの展開です。
これらの活動を特定の国家による脅威と明確に関連付ける十分な証拠はありませんが、Turla および MoustachedBouncer による攻撃で使用された悪意のあるツールとの戦術的な類似点がいくつか存在します。MoustachedBouncer もベラルーシの外国大使館を標的にしています。
GoldenJackal によって展開された複数のマルウェアの脅威
情報セキュリティの専門家は、2019年8月から9月にかけてベラルーシの南アジア大使館でGoldenJackalに関連するアーティファクトを特定し、2021年7月にはさらに発見がありました。注目すべきは、脅威アクターが2022年5月から2024年3月の間に、完全に更新されたツールセットを欧州連合政府機関に対して展開することに成功したことです。
5 年間にわたり、エアギャップ システムを侵害するために特別に設計された 2 つの異なるツールセットを開発および導入する際に実証された高度な技術は、このグループの機知に富んだ能力を際立たせています。
ベラルーシの南アジア大使館への攻撃では、JackalControl、JackalSteal、JackalWorm に加えて、3 つの異なるマルウェア ファミリが使用されたと報告されています。
- GoldenDealer は、侵害された USB ドライブを介して、隔離されたシステムへの実行可能ファイルの配信を容易にします。
- GoldenHowl は、ファイルの盗難、スケジュールされたタスクの作成、リモート サーバーへのファイルのアップロードとダウンロード、SSH トンネルの確立が可能なモジュール式バックドアです。
- GoldenRobo は、ファイルの収集とデータの流出を目的として設計されたツールです。
攻撃に使われる新たな脅迫ツール
対照的に、ヨーロッパの無名の政府機関を標的とした攻撃では、主に Go で書かれたまったく新しいマルウェア ツール スイートが使用されました。これらのツールは、USB ドライブからファイルを収集し、USB ドライブを介してマルウェアを拡散し、データを盗み出し、特定のマシン サーバーをステージング サーバーとして利用してペイロードを他のホストに配布するように設計されています。
- GoldenUsbCopy と、その後継となる強化版の GoldenUsbGo は、USB ドライブを監視し、ファイルをコピーして流出させます。
- GoldenAce は、JackalWorm の軽量バージョンを含むマルウェアを、USB ドライブを介して他のシステム (必ずしもエアギャップではない) に拡散するために使用されます。
- GoldenBlacklist とその Python バリアントである GoldenPyBlacklist は、将来の流出のために興味のある電子メール メッセージを処理します。
- GoldenMailer は、収集したデータを電子メールで攻撃者に送信します。
- 収集した情報を Google ドライブにアップロードする GoldenDrive。
現在、GoldenJackal が最初にターゲット環境を侵害する方法は不明です。ただし、研究者は以前、トロイの木馬化された Skype インストーラーと破損した Microsoft Word ドキュメントが潜在的な侵入ポイントとして機能する可能性があることを示唆しています。
GoldenJackal の攻撃はどのように進行しますか?
GoldenDealer は、インターネットに接続されたコンピュータに未知の方法でインストールされると、USB ドライブが挿入されると起動します。このアクションにより、リムーバブル デバイスに自分自身と未知のワーム コンポーネントがコピーされます。この未知のコンポーネントは、感染した USB ドライブがエアギャップ システムに接続されたときに実行され、その後 GoldenDealer がマシンに関する情報を収集して USB ドライブに保存すると考えられています。
USB デバイスがインターネットに接続されたコンピュータに再度挿入されると、GoldenDealer はドライブに保存されている情報を外部サーバーに転送し、外部サーバーはエアギャップ システムで実行される適切なペイロードを送り返します。このマルウェアは、ダウンロードされた実行ファイルを USB ドライブにコピーする役割も担っています。最終段階では、デバイスがエアギャップ マシンに再度接続されると、GoldenDealer はコピーされた実行ファイルを実行します。
さらに、GoldenRobo はインターネットに接続された PC 上で実行され、USB ドライブからファイルを取得して攻撃者が管理するサーバーに送信するように設計されています。Go で開発されたこのマルウェアの名前は、ファイル転送を実行するために使用される robocopy と呼ばれる正規の Windows ユーティリティに由来しています。
これまでのところ、研究者は、エアギャップコンピュータから USB ドライブ自体にファイルを転送する役割を担う別のモジュールを特定していません。
わずか 5 年以内に、エアギャップ ネットワークを侵害するための 2 つの異なるツールセットを展開する能力は、GoldenJackal が、ターゲットが採用するネットワーク セグメンテーション戦略を理解している高度な脅威アクターであることを示しています。
