Acteur de menace GoldenJackal

Un acteur de menace moins connu connu sous le nom de GoldenJackal a été associé à une série de cyberattaques visant des ambassades et des organismes gouvernementaux, avec l'intention de violer des systèmes isolés via deux ensembles d'outils personnalisés distincts.

Les cibles incluent une ambassade d'Asie du Sud située en Biélorussie et une organisation gouvernementale de l'Union européenne (UE). L'objectif principal de GoldenJackal semble être le vol d'informations sensibles, en particulier celles provenant de systèmes de grande envergure qui peuvent rester déconnectés d'Internet.

GoldenJackal est actif depuis des années

GoldenJackal a été identifié pour la première fois en mai 2023, lorsque des chercheurs ont signalé les attaques du groupe de menaces ciblant des entités diplomatiques et gouvernementales au Moyen-Orient et en Asie du Sud. Les opérations du groupe remontent au moins à 2019. Un aspect notable de ces intrusions est le déploiement d'un ver connu sous le nom de JackalWorm, qui peut infecter les clés USB connectées et transmettre un cheval de Troie appelé JackalControl.

Bien qu’il n’y ait pas suffisamment de preuves pour associer définitivement ces activités à une menace particulière pesant sur un État-nation, certaines similitudes tactiques existent avec les outils malveillants utilisés dans les campagnes attribuées à Turla et MoustachedBouncer, ce dernier s’étant également concentré sur les ambassades étrangères en Biélorussie.

Plusieurs menaces de logiciels malveillants déployées par GoldenJackal

Des experts en sécurité informatique ont identifié des artefacts liés à GoldenJackal dans une ambassade d'Asie du Sud en Biélorussie en août et septembre 2019, avec d'autres découvertes en juillet 2021. Notamment, l'acteur de la menace a déployé avec succès un ensemble d'outils entièrement mis à jour contre une entité gouvernementale de l'Union européenne entre mai 2022 et mars 2024.

La sophistication démontrée dans le développement et le déploiement de deux ensembles d'outils distincts spécifiquement conçus pour compromettre les systèmes isolés pendant cinq ans met en évidence l'ingéniosité du groupe.

L'attaque contre l'ambassade d'Asie du Sud en Biélorussie aurait utilisé trois familles de logiciels malveillants différentes en plus de JackalControl, JackalSteal et JackalWorm :

• GoldenDealer, qui facilite la livraison d'exécutables à des systèmes isolés via des clés USB compromises.
• GoldenHowl, une porte dérobée modulaire capable de voler des fichiers, de créer des tâches planifiées, de télécharger et de charger des fichiers vers et depuis un serveur distant et d'établir un tunnel SSH.
• GoldenRobo, un outil conçu pour la collecte de fichiers et l'exfiltration de données.

Le nouvel ensemble d'outils de menace utilisés dans les attaques

En revanche, les attaques visant l'organisation gouvernementale anonyme en Europe ont utilisé une toute nouvelle suite d'outils malveillants principalement écrits en Go. Ces outils sont conçus pour collecter des fichiers à partir de clés USB, propager des logiciels malveillants via des clés USB, exfiltrer des données et utiliser certains serveurs de machines comme serveurs de transfert pour distribuer des charges utiles à d'autres hôtes :

• GoldenUsbCopy et son successeur amélioré, GoldenUsbGo, qui surveillent les clés USB et copient les fichiers pour les exfiltrer.
• GoldenAce, qui est utilisé pour diffuser des logiciels malveillants, y compris une version légère de JackalWorm, vers d'autres systèmes (pas nécessairement isolés) via des clés USB.
• GoldenBlacklist et sa variante Python, GoldenPyBlacklist, qui traite les messages électroniques intéressants pour une future exfiltration.
• GoldenMailer, qui envoie les données récoltées aux attaquants par courrier électronique.
• GoldenDrive, qui télécharge les informations récoltées sur Google Drive.

On ignore encore comment GoldenJackal compromet initialement les environnements cibles. Cependant, des chercheurs ont déjà suggéré que les installateurs Skype infectés par un cheval de Troie et les documents Microsoft Word corrompus pourraient servir de points d'entrée potentiels.

Comment se déroulent les attaques du GoldenJackal ?

GoldenDealer, une fois installé sur un ordinateur connecté à Internet par une méthode non identifiée, s'active lorsqu'une clé USB est insérée. Cette action entraîne la copie de lui-même et d'un composant ver inconnu sur le périphérique amovible. On pense que ce composant inconnu s'exécute lorsque la clé USB infectée est connectée à un système isolé, après quoi GoldenDealer collecte des informations sur la machine et les enregistre sur la clé USB.

Lorsque le périphérique USB est réinséré dans l'ordinateur connecté à Internet, GoldenDealer transfère les informations stockées sur le lecteur vers un serveur externe, qui renvoie ensuite les charges utiles appropriées à exécuter sur le système isolé. Le logiciel malveillant est également chargé de copier les exécutables téléchargés sur la clé USB. Dans la dernière étape, lorsque le périphérique est à nouveau connecté à la machine isolée, GoldenDealer exécute les exécutables copiés.

De plus, GoldenRobo fonctionne sur le PC connecté à Internet, conçu pour récupérer les fichiers de la clé USB et les envoyer au serveur contrôlé par l'attaquant. Ce malware, développé en Go, tire son nom d'un utilitaire Windows légitime appelé robocopy, qu'il utilise pour effectuer les transferts de fichiers.

Jusqu’à présent, les chercheurs n’ont pas identifié de module distinct responsable du transfert des fichiers de l’ordinateur isolé vers la clé USB elle-même.

La capacité à déployer deux ensembles d’outils distincts pour compromettre des réseaux isolés en seulement cinq ans démontre que GoldenJackal est un acteur de menace sophistiqué qui comprend les stratégies de segmentation de réseau employées par ses cibles.