Violan sistemas aislados mediante malware personalizado
Un grupo de atacantes y APT conocido como GoldenJackal ha violado con éxito sistemas gubernamentales aislados en Europa utilizando dos conjuntos de herramientas personalizadas para robar datos confidenciales, como correos electrónicos, claves de cifrado, imágenes, archivos y documentos.
Según un informe de ESET, esto ocurrió al menos dos veces, una contra la embajada de un país del sur de Asia en Bielorrusia en septiembre de 2019 y nuevamente en julio de 2021, y otra contra una organización gubernamental europea entre mayo de 2022 y marzo de 2024.
En mayo de 2023, Kaspersky advirtió sobre las actividades de GoldenJackal, señalando que los actores de amenazas se centran en entidades gubernamentales y diplomáticas con fines de espionaje.
Aunque se conocía el uso de herramientas personalizadas distribuidas en memorias USB, como el 'JackalWorm', no se habían confirmado previamente casos de compromiso exitoso de sistemas aislados.
Los sistemas aislados (air-gap) se utilizan en operaciones críticas, que a menudo administran información confidencial, y están aislados de las redes abiertas como medida de protección.
Entrando a redes aisladas (air-gap)
Los ataques más antiguos vistos por ESET comienzan infectando sistemas conectados a Internet, probablemente utilizando software troyanizado o documentos maliciosos, con un malware llamado 'GoldenDealer'.
GoldenDealer monitorea la inserción de unidades USB en esos sistemas y, cuando esto sucede, automáticamente se copia a sí mismo y a otros componentes maliciosos en ellos. Finalmente, esa misma unidad USB se inserta en una computadora aislada, lo que permite a GoldenDealer instalar GoldenHowl (una puerta trasera) y GoldenRobo (un ladrón de archivos) en estos sistemas aislados.
Durante esta fase, GoldenRobo escanea el sistema en busca de documentos, imágenes, certificados, claves de cifrado, archivos, archivos de configuración de OpenVPN y otra información valiosa y los almacena en un directorio oculto en la unidad USB.
Cuando se retira la unidad USB de la computadora aislada y se vuelve a conectar al sistema original conectado a Internet, GoldenDealer envía automáticamente los datos robados almacenados en la unidad al servidor de comando y control (C2) del actor de la amenaza.
GoldenHowl es una puerta trasera de Python multifuncional que puede robar archivos, facilitar la persistencia, buscar vulnerabilidades y comunicarse directamente con el C2. ESET dice que parece diseñado para ejecutarse en máquinas conectadas a Internet.
Nuevo conjunto de herramientas modulares
En 2022, GoldenJackal comenzó a utilizar un nuevo conjunto de herramientas modulares basado en Go que realizaba actividades similares a las descritas en la sección anterior, pero permitía a los atacantes asignar tareas a diferentes máquinas con roles separados.
El nuevo malware utilizado para la infección de USB se llama GoldenAce, y las herramientas que roban archivos y los envían a los atacantes se denominan 'GoldenUsbCopy' y 'GoldenUsbGo', siendo esta última una variante más reciente del primero.
GoldenUsbGo ya no utiliza una configuración cifrada con AES, sino que extrae archivos basándose en instrucciones codificadas, incluidos archivos modificados recientemente (hasta 14 días) que pesan menos de 20 MB y coinciden con tipos específicos de contenido (palabras clave como "password", "login", o "key") o ciertos tipos de archivos (.pdf, .doc/.docx, .sh, .bat).
Otro componente de malware interesante es GoldenBlacklist (y su implementación basada en Python GoldenPyBlacklist), que filtra y archiva mensajes de correo electrónico específicos de sistemas comprometidos antes de su exfiltración.
Finalmente, está GoldenMailer, que envía por correo electrónico la información robada a los atacantes, y GoldenDrive, que carga los datos en Google Drive.
La presencia de dos conjuntos de herramientas que también se superponen con las herramientas descritas en el informe de Kaspersky demuestra la capacidad de GoldenJackal para desarrollar nuevo malware personalizado y optimizarlo para operaciones de espionaje encubierto.
Para obtener una lista completa de los indicadores de compromiso (IoC) asociados con todas esas herramientas, puede consultar esta página de GitHub.
Fuente: BC
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!