GoldenJackal’ın, Ağustos 2019’dan bu yana Belarus’taki bir Güney Asya büyükelçiliğindeki izole sistemleri hedef almak için özel bir araç seti kullandığını ortaya çıktı.
Güvenlik araştırmacıları, Mayıs 2022’den Mart 2024’e kadar Avrupa’da gerçekleşen ve saldırganların bir Avrupa Birliği ülkesinin hükümet kuruluşunda izole sistemleri hedef alabilen bir araç seti kullandığı bir dizi saldırı keşfetti.
Grup tarafından kullanılan araç setini analiz eden güvenlik araştırmacıları, GoldenJackal’ın daha önce 2019 yılında Belarus’taki bir Güney Asya büyükelçiliğine karşı gerçekleştirdiği ve büyükelçiliğin herhangi bir ağa bağlı olmayan sistemlerini özel araçlarla hedef alan bir saldırı tespit etti.
GoldenJackal’ın nihai hedefinin, özellikle internete bağlı olmayabilecek yüksek profilli makinelerden gizli ve son derece hassas bilgileri çalmak olması çok muhtemel.
Ele geçirilme riskini en aza indirmek için son derece hassas ağlar genellikle hava boşlukludur ve diğer ağlardan izole edilmiştir. Kuruluşlar genellikle oylama sistemleri ve elektrik şebekelerini çalıştıran endüstriyel kontrol sistemleri gibi en değerli sistemlerini izole hale getirir.
Bunlar genellikle saldırganların tam olarak ilgilendiği ağlardır. İzole bir ağı tehlikeye atmak, internete bağlı bir sistemi ihlal etmekten çok daha yoğun kaynak gerektirir; bu da bu ağlara saldırmak için tasarlanmış araçların şimdiye kadar yalnızca APT grupları tarafından geliştirildiği anlamına gelir. Bu tür saldırıların amacı her zaman casusluktur.
GoldenJackal Avrupa, Orta Doğu ve Güney Asya’daki devlet kurumlarını hedef alıyor. Güvenlik araştırmacıları, GoldenJackal araçlarını Ağustos ve Eylül 2019’da ve yine Temmuz 2021’de Belarus’taki bir Güney Asya büyükelçiliğinde tespit etti. Yakın zamanda, Avrupa’daki başka bir devlet kuruluşu Mayıs 2022’den Mart 2024’e kadar defalarca hedef alındı.
Karmaşıklık seviyesi göz önüne alındığında GoldenJackal’ın beş yıl içinde izole sistemleri tehlikeye atmak için tasarlanmış bir değil iki ayrı araç setini dağıtmayı başarması oldukça sıra dışıdır. Bu da grubun ne kadar becerikli olduğunu gösteriyor.
Belarus’taki bir Güney Asya büyükelçiliğine yönelik saldırılarda, şimdiye kadar sadece bu örnekte gördüğümüz özel araçlar kullanıldı. Kampanyada üç ana bileşen kullanıldı: USB izleme yoluyla yürütülebilir dosyaları izole sisteme ileten GoldenDealer, çeşitli işlevlere sahip modüler bir arka kapı olan GoldenHowl ve bir dosya toplayıcı ve dışarı sızıcı olan GoldenRobo.
“Bir kurban, ele geçirilmiş bir USB sürücüsünü izole bir sisteme taktığında ve klasör simgesine sahip ancak aslında kötü niyetli bir yürütülebilir dosya olan bir bileşene tıkladığında GoldenDealer yüklenir ve çalıştırılır, izole sistem hakkında bilgi toplamaya başlar ve bunları USB sürücüsünde depolar.
Sürücü tekrar internete bağlı bilgisayara takıldığında GoldenDealer USB sürücüsünden ağdan izole bilgisayar hakkındaki bilgileri alır ve C&C sunucusuna gönderir. Sunucu, izole bilgisayarda çalıştırılacak bir veya daha fazla yürütülebilir dosyayla yanıt verir.
Son olarak, sürücü tekrar izole PC’ye takıldığında GoldenDealer sürücüden yürütülebilir dosyaları alır ve çalıştırır. GoldenDealer zaten çalıştığı için kullanıcı etkileşimine gerek yoktur” diye açıklıyor Porolli.
GoldenJackal, Avrupa Birliği’ndeki bir devlet kurumuna karşı gerçekleştirdiği son saldırı serisinde, orijinal araç setinden yeni ve son derece modüler bir araç setine geçmiş durumda.
Bu modüler yaklaşım yalnızca kötü amaçlı araçlara değil aynı zamanda ele geçirilen sistem içindeki mağdur ana bilgisayarların rollerine de uygulanmış; diğer şeylerin yanı sıra ilginç, muhtemelen gizli bilgileri toplamak ve işlemek, dosyaları, yapılandırmaları ve komutları diğer sistemlere dağıtmak ve dosyaları dışarı sızdırmak için kullanılmışlardır.
