Kelompok peretas APT yang dikenal sebagai GoldenJackal telah berhasil menembus sistem pemerintahan di Eropa menggunakan dua perangkat khusus untuk mencuri data sensitif, seperti email, kunci enkripsi, gambar, arsip, dan dokumen.
Menurut sebuah laporan ESEThal ini terjadi setidaknya dua kali, satu terhadap kedutaan besar negara Asia Selatan di Belarus pada September 2019 dan satu lagi pada Juli 2021, dan satu lagi terhadap organisasi pemerintah Eropa antara Mei 2022 dan Maret 2024.
Pada bulan Mei 2023, Kaspersky memperingatkan tentang aktivitas GoldenJackal, dan mencatat bahwa pelaku ancaman fokus pada pemerintah dan entitas diplomatik untuk tujuan spionase.
Meskipun penggunaan alat khusus yang tersebar di pen drive USB, seperti ‘JackalWorm’, telah diketahui, kasus keberhasilan kompromi sistem celah udara belum pernah dikonfirmasi sebelumnya.
Sistem celah udara digunakan dalam operasi penting, yang sering kali mengelola informasi rahasia, dan diisolasi dari jaringan terbuka sebagai tindakan perlindungan.
Masuk melalui celah (udara).
Serangan lama yang ditemukan oleh ESET dimulai dengan menginfeksi sistem yang terhubung ke internet, kemungkinan besar menggunakan perangkat lunak trojan atau dokumen berbahaya, dengan malware yang disebut ‘GoldenDealer’.
GoldenDealer memonitor penyisipan drive USB pada sistem tersebut, dan ketika itu terjadi, secara otomatis menyalin dirinya sendiri dan komponen berbahaya lainnya ke dalamnya.
Akhirnya, drive USB yang sama dimasukkan ke dalam komputer dengan celah udara, memungkinkan GoldenDealer menginstal GoldenHowl (pintu belakang) dan GoldenRobo (pencuri file) ke sistem yang terisolasi ini.
Selama fase ini, GoldenRobo memindai sistem untuk mencari dokumen, gambar, sertifikat, kunci enkripsi, arsip, file konfigurasi OpenVPN, dan informasi berharga lainnya dan menyimpannya di direktori tersembunyi di drive USB.
Ketika drive USB dilepas dari komputer dengan celah udara dan dihubungkan kembali ke sistem asli yang terhubung ke internet, GoldenDealer secara otomatis mengirimkan data curian yang disimpan di drive tersebut ke server komando dan kontrol (C2) pelaku ancaman.
GoldenHowl adalah pintu belakang Python multi-fungsi yang dapat mencuri file, memfasilitasi persistensi, memindai kerentanan, dan berkomunikasi langsung dengan C2. ESET mengatakan tampaknya aplikasi tersebut dirancang untuk dijalankan pada mesin yang terhubung ke internet.
.jpg)
Sumber: ESET
Perangkat modular baru
Pada tahun 2022, GoldenJackal mulai menggunakan perangkat modular berbasis Go baru yang melakukan aktivitas serupa seperti yang dijelaskan di bagian sebelumnya, namun memungkinkan penyerang untuk menugaskan mesin berbeda dengan peran terpisah.
Misalnya, beberapa mesin digunakan untuk eksfiltrasi file sementara yang lain bertindak sebagai pengatur file atau titik distribusi konfigurasi.
Malware baru yang digunakan untuk infeksi USB diberi nama GoldenAce, dan alat yang mencuri file dan mengirimkannya ke penyerang diberi nama ‘GoldenUsbCopy’ dan ‘GoldenUsbGo’, yang terakhir merupakan varian terbaru dari yang pertama.
Sumber: ESET
GoldenUsbGo tidak lagi menggunakan konfigurasi terenkripsi AES melainkan mengeksfiltrasi file berdasarkan instruksi hardcode, termasuk file yang baru dimodifikasi (hingga 14 hari) yang berukuran lebih kecil dari 20 MB dan cocok dengan jenis konten tertentu (kata kunci seperti “pass”, “login”, atau “kunci”) atau jenis file tertentu (.pdf, .doc/.docx, .sh, .bat).
Komponen malware menarik lainnya adalah GoldenBlacklist (dan implementasi berbasis Python GoldenPyBlacklist), yang memfilter dan mengarsipkan pesan email tertentu dari sistem yang disusupi sebelum eksfiltrasi.
Terakhir, ada GoldenMailer, yang mengirimkan informasi yang dicuri melalui email kepada penyerang, dan GoldenDrive, yang mengunggah data ke Google Drive.
Sumber: ESET
Kehadiran dua rangkaian alat yang juga tumpang tindih dengan alat yang dijelaskan dalam laporan Kaspersky menunjukkan kemampuan GoldenJackal untuk mengembangkan malware khusus baru dan mengoptimalkannya untuk operasi spionase rahasia.
Untuk daftar lengkap indikator kompromi (IoC) yang terkait dengan semua alat tersebut, Anda dapat membaca ini halaman GitHub.
