Kaspersky telah menemukan grup kejahatan dunia maya baru. Grup bernama GoldenJackal ini telah aktif sejak 2019 tetapi tidak memiliki profil publik dan sebagian besar tetap menjadi misteri. Menurut informasi yang diperoleh dari penelitian, kelompok tersebut terutama menargetkan institusi publik dan diplomatik di Timur Tengah dan Asia Selatan.
Kaspersky mulai memantau GoldenJakal pada pertengahan 2020. Kelompok ini sesuai dengan aktor ancaman yang terampil dan berjubah sedang serta menunjukkan aliran aktivitas yang konsisten. Fitur utama grup ini adalah target mereka adalah membajak komputer, menyebar antar sistem melalui drive yang dapat dilepas dan mencuri file tertentu. Ini menunjukkan bahwa tujuan utama dari aktor ancaman adalah spionase.
Menurut penelitian Kaspersky, aktor ancaman menggunakan penginstal Skype palsu dan dokumen Word berbahaya sebagai vektor awal serangan. Penginstal Skype palsu terdiri dari file yang dapat dieksekusi berukuran sekitar 400 MB dan berisi Trojan JackalControl dan penginstal Skype for Business yang sah. Penggunaan pertama alat ini dimulai pada tahun 2020. Vektor infeksi lain didasarkan pada dokumen berbahaya yang mengeksploitasi kerentanan Follina, menggunakan teknik injeksi template jarak jauh untuk mengunduh halaman HTML yang dibuat khusus.
Dokumen tersebut berjudul “Galeri Petugas yang Telah Menerima Penghargaan Nasional dan Asing.docx” dan tampaknya merupakan surat edaran resmi yang meminta informasi tentang petugas yang diberikan oleh pemerintah Pakistan. Informasi tentang kerentanan Follina pertama kali dibagikan pada 29 Mei 2022, dan dokumen tersebut diubah pada 1 Juni, dua hari setelah rilis kerentanan, menurut catatan. Dokumen itu pertama kali terlihat pada 2 Juni. Meluncurkan executable yang berisi malware Trojan JackalControl setelah mengunduh objek dokumen eksternal yang dikonfigurasi untuk memuat objek eksternal dari situs web yang sah dan disusupi.
Serangan JackalControl, dikendalikan dari jarak jauh
Serangan JackalControl berfungsi sebagai Trojan utama yang memungkinkan penyerang mengontrol mesin target dari jarak jauh. Selama bertahun-tahun, penyerang telah mendistribusikan berbagai varian malware ini. Beberapa varian berisi kode tambahan untuk mempertahankan keabadiannya, sementara yang lain dikonfigurasikan untuk beroperasi tanpa menginfeksi sistem. Mesin sering kali terinfeksi melalui komponen lain seperti skrip batch.
Alat penting kedua yang banyak digunakan oleh kelompok GoldenJackal adalah JackalSteal. Alat ini dapat digunakan untuk memantau drive USB yang dapat dilepas, pembagian jarak jauh, dan semua drive logis dalam sistem yang ditargetkan. Malware dapat berjalan sebagai proses atau layanan standar. Namun, itu tidak dapat mempertahankan persistensinya dan karena itu perlu dimuat oleh komponen lain.
Terakhir, GoldenJackal menggunakan sejumlah alat tambahan seperti JackalWorm, JackalPerInfo, dan JackalScreenWatcher. Alat-alat ini digunakan dalam situasi tertentu yang disaksikan oleh para peneliti Kaspersky. Toolkit ini bertujuan untuk mengontrol mesin korban, mencuri kredensial, mengambil tangkapan layar desktop, dan menunjukkan kecenderungan spionase sebagai target akhir.
Giampaolo Dedola, Peneliti Keamanan Senior di Kaspersky Global Research and Analysis Team (GReAT), mengatakan:
“GoldenJackal adalah aktor APT yang menarik yang mencoba untuk tidak terlihat dengan profilnya yang rendah. Meskipun pertama kali beroperasi pada Juni 2019, mereka berhasil tetap tersembunyi. Dengan perangkat malware canggih, aktor ini sangat produktif dalam serangannya terhadap organisasi publik dan diplomatik di Timur Tengah dan Asia Selatan. Karena beberapa malware yang disematkan masih dalam pengembangan, penting bagi tim keamanan siber untuk mengawasi kemungkinan serangan oleh aktor ini. Kami berharap analisis kami akan membantu mencegah aktivitas GoldenJackal.”