Les entités gouvernementales et diplomatiques au Moyen-Orient et en Asie du Sud sont la cible d’un nouvel acteur avancé de menace persistante nommé GoldenChacal.
La société russe de cybersécurité Kaspersky, qui a été garder un œil sur les activités du groupe depuis la mi-2020, a caractérisé l’adversaire à la fois capable et furtif.
La portée de ciblage de la campagne se concentre sur l’Afghanistan, l’Azerbaïdjan, l’Iran, l’Irak, le Pakistan et la Turquie, infectant les victimes avec des logiciels malveillants sur mesure qui volent des données, se propagent à travers les systèmes via des disques amovibles et effectuent une surveillance.
GoldenJackal est soupçonné d’être actif depuis au moins quatre ans, bien que l’on sache peu de choses sur le groupe. Kaspersky a déclaré qu’il n’a pas été en mesure de déterminer son origine ou son affiliation avec des acteurs connus de la menace, mais le mode opératoire de l’acteur suggère une motivation d’espionnage.
De plus, les tentatives de l’acteur menaçant de maintenir un profil bas et de disparaître dans l’ombre portent toutes les caractéristiques d’un groupe parrainé par l’État.
Cela dit, certains chevauchements tactiques ont été observés entre l’acteur menaçant et Turla, l’un des équipes de piratage d’État-nation d’élite. Dans une position, une machine victime a été infectée par Turla et GoldenJackal à deux mois d’intervalle.
Le chemin initial exact utilisé pour pénétrer les ordinateurs ciblés est inconnu à ce stade, mais les preuves recueillies jusqu’à présent indiquent l’utilisation d’installateurs Skype trojanisés et de documents Microsoft Word malveillants.
Alors que le programme d’installation sert de conduit pour livrer un cheval de Troie basé sur .NET appelé JackalControl, les fichiers Word ont été observés militarisant la vulnérabilité Follina (CVE-2022-30190) pour supprimer le même logiciel malveillant.
JackalControl, comme son nom l’indique, permet aux attaquants de réquisitionner la machine à distance, d’exécuter des commandes arbitraires, ainsi que de télécharger et de télécharger depuis et vers le système.
Géographie des victimes |
Certaines des autres familles de logiciels malveillants déployés par GoldenJackal sont les suivantes –
- ChacalVoler – Un implant utilisé pour trouver des fichiers d’intérêt, y compris ceux situés sur des clés USB amovibles, et les transmettre à un serveur distant.
- ChacalVer – Un ver conçu pour infecter les systèmes utilisant des lecteurs USB amovibles et installer le cheval de Troie JackalControl.
- JackalPerInfo – Un logiciel malveillant doté de fonctionnalités permettant de récolter les métadonnées du système, le contenu des dossiers, les applications installées et les processus en cours d’exécution, ainsi que les informations d’identification stockées dans les bases de données des navigateurs Web.
- ChacalScreenWatcher – Un utilitaire pour saisir des captures d’écran basées sur un intervalle de temps prédéfini et les envoyer à un serveur contrôlé par un acteur.
Un autre aspect notable de l’acteur de la menace est sa dépendance à l’égard des sites WordPress piratés comme relais pour transmettre les demandes Web au serveur de commande et de contrôle (C2) réel au moyen d’un fichier PHP malveillant injecté dans les sites Web.
« Le groupe essaie probablement de réduire sa visibilité en limitant le nombre de victimes », a déclaré Giampaolo Dedola, chercheur chez Kaspersky. « Leur boîte à outils semble être en cours de développement – le nombre de variantes montre qu’ils y investissent toujours. »