ESET Forscher haben eine Reihe von Angriffen auf eine Regierungsorganisation in Europa entdeckt. Hierbei kamen Werkzeuge zum Einsatz, die speziell auf Systeme hinter Air Gaps abzielen. Die Kampagne, die wir der APT-Gruppe GoldenJackal zuschreiben, fand zwischen Mai 2022 und März 2024 statt. Durch die Analyse der Malware der Gruppe konnten wir einen Angriff identifizieren, den GoldenJackal bereits 2019 gegen eine südasiatische Botschaft in Weißrussland durchgeführt hatte und der ebenfalls mit maßgeschneiderten Tools auf die isolierten Computer der Botschaft abzielte.

Dieser Blogpost stellt bisher nicht dokumentierte Tools vor, die wir aufgrund von der Art der Opfer, Code und funktionalen Ähnlichkeiten zwischen den Toolsets GoldenJackal zuordnen.

Die wichtigsten Punkte des Blogposts:
  • GoldenJackal ist eine mysteriöse APT-Gruppe, über die nicht viel bekannt ist
  • Überblick über Aktivitäten der Gruppe
  • Eine Untersuchung der Opfer von GoldenJackal
  • Wie die Hacker an ihr Ziel gelangten
  • Tiefergreifende technische Details gibt es im englischen Original-Blogpost

GoldenJackal-Profil

GoldenJackal ist eine APT-Gruppe, die mindestens seit 2019 aktiv ist. Sie zielt auf staatliche und diplomatische Einrichtungen in Europa, dem Nahen Osten und Südasien ab. Über die Gruppe selbst ist wenig bekannt und sie wurde erst im Jahr 2023 von Kaspersky öffentlich beschrieben. Das bekannte Toolset der Gruppe umfasst mehrere in C# geschriebene Implantate: JackalControl, JackalSteal, JackalWorm, JackalPerInfo und JackalScreenWatcher - sie alle werden für Spionagezwecke eingesetzt.

Überblick

Im Mai 2022 entdeckten ESET Forscher eine Malware, die sie keiner bekannten APT-Gruppe zuordnen konnten. Die Angreifer verwendeten jedoch ein Werkzeug, das einem der von Kaspersky öffentlich Dokumentierten ähnelte. Wir konnten damit eine Verbindung zwischen den bereits öffentlich dokumentierten GoldenJackal-Werkzeugen und den neuen herstellen.

Auf dieser Grundlage konnten wir einen früheren Angriff identifizieren, bei dem das öffentlich dokumentierte Toolset verwendet wurde. Auch ältere Malware, die ebenfalls in der Lage ist, Air-Gapped-Systeme anzugreifen, kam ans Licht. 

Viktimologie

GoldenJackal hat es auf Regierungseinrichtungen in Europa, dem Nahen Osten und Südasien abgesehen. Wir haben GoldenJackal-Tools in einer südasiatischen Botschaft in Weißrussland im August und September 2019 und erneut im Juli 2021 entdeckt.

Kaspersky meldete eine kleine Anzahl von Angriffen auf staatliche und diplomatische Einrichtungen im Nahen Osten und in Südasien, die im Jahr 2020 begannen.

In jüngerer Zeit wurde laut ESET-Telemetrie eine Regierungsorganisation der Europäischen Union von Mai 2022 bis März 2024 wiederholt angegriffen.

Zuschreibung

Alle in diesem Blogpost beschriebenen Kampagnen setzten zu irgendeinem Zeitpunkt mindestens eines der Tools ein, die Kaspersky der GoldenJackal APT-Gruppe zuschreibt. Wie auch im Kaspersky-Bericht können wir die Aktivitäten von GoldenJackal keiner bestimmten Nation zuordnen. Es gibt jedoch einen Hinweis, der auf den Ursprung der Angriffe hindeuten könnte: In der GoldenHowl-Malware wird das C&C-Protokoll als transport_http bezeichnet, ein Ausdruck, der typischerweise von Turla (siehe unseren ComRat v4-Bericht) und MoustachedBouncer verwendet wird. Dies legt einen russischsprachigen Hintergrund der Hacker nahe.

Einbruch in isolierte Systeme

Um das Risiko einer Kompromittierung zu minimieren, werden hochsensible Netzwerke oft mit einem Air Gap versehen, d. h. von anderen Netzwerken isoliert. In der Regel isolieren Unternehmen ihre wertvollsten Systeme, wie z. B.  industrielle Kontrollsysteme, die Stromnetze betreiben. Diese Netzwerke sind für Angreifer oft am interessantesten.

Wie wir bereits in einem früheren Whitepaper festgestellt haben, ist die Kompromittierung eines über einen Air Gap verbundenen Netzwerks wesentlich ressourcenintensiver als das Eindringen in ein mit dem Internet verbundenes System. Das bedeutet, dass Frameworks zum Angriff auf über einen Air Gap verbundene Netzwerke bisher ausschließlich von APT-Gruppen entwickelt wurden. Das Ziel solcher Angriffe ist immer Spionage, in seltenen Fällen auch Sabotage.

Angesichts der erforderlichen Raffinesse ist es recht ungewöhnlich, dass es GoldenJackal innerhalb von fünf Jahren gelungen ist, nicht nur ein, sondern gleich zwei separate Toolsets zur Kompromittierung von Air-Gapped-Systemen zu entwickeln und einzusetzen. Dies spricht für den Einfallsreichtum der Gruppe. Bei den Angriffen auf eine südasiatische Botschaft in Weißrussland wurden maßgeschneiderte Tools verwendet, die wir bisher nur in diesem speziellen Fall gesehen haben. Bei der Kampagne wurden drei Hauptkomponenten verwendet: GoldenDealer, um ausführbare Dateien über USB-Überwachung an das abgehörte System zu liefern; GoldenHowl, eine modulare Backdoor mit verschiedenen Funktionen; und GoldenRobo, ein Dateisammler und Exfiltrator.

Bei der jüngsten Angriffsserie gegen eine Regierungsorganisation in Europa ging GoldenJackal von dem ursprünglichen Toolset zu einem neuen, hochgradig modularen Set an Malware-Komponenten über. Dieser modulare Ansatz galt nicht nur für das Design der bösartigen Werkzeuge (wie bei GoldenHowl), sondern auch für ihre Funktionen: Sie wurden unter anderem dazu verwendet, interessante Informationen zu sammeln und zu verarbeiten, Dateien, Konfigurationen und Befehle an andere Systeme zu verteilen und Dateien abzuleiten.

Eine tiefergreifende technische Analyse zu Malware und Vorgehen von GoldenJackal finden Sie im englischen Original-Blogpost