ESET Reserach ontdekte een reeks aanvallen die plaatshadden in .Europa van mei 2022 tot maart 2024, waarbij de aanvallers een toolset gebruikten die geïsoleerde systemen als doelwit kon nemen, in een overheidsorganisatie van een EU-land. ESET linkt de campagne aan GoldenJackal, een APT-groep gericht op overheids- en diplomatieke entiteiten. Door de analyse van de toolset die de groep inzette, identificeerde ESET een aanval van GoldenJackal in 2019
· GoldenJackal, een APT- groep, gebruikte sinds augustus 2019 een toolset om geïsoleerde systemen van een Zuid-Aziatische ambassade in Wit-Rusland aan te vallen.
· Tussen mei 2022 en maart 2024, bij een andere aanval, zette GoldenJackal een modulaire toolset in tegen een overheidsorganisatie in een land van de EU.
· Deze toolsets bieden GoldenJackal tal van mogelijkheden om de beoogde netwerken te compromitteren en te blijven bestaan. Getroffen systemen krijgen diverse rollen in het lokale netwerk, van het verzamelen van interessante, vertrouwelijke, informatie tot het verwerken ervan, de distributie van bestanden, configuraties en opdrachten naar andere systemen, of het exfiltreren van bestanden.
· Het uiteindelijke doel van GoldenJackal is zeer zeker het stelen van vertrouwelijke informatie uit belangrijke systemen die opzettelijk van internet geïsoleerd zijn.
MONTREAL, BRATISLAVA, 7 oktober 2024 — ESET Reserach ontdekte een reeks aanvallen die plaatshadden in Europa van mei 2022 tot maart 2024, waarbij de aanvallers een toolset gebruikten die geïsoleerde systemen als doelwit kon nemen, in een overheidsorganisatie van een EU-land. ESET linkt de campagne aan GoldenJackal, een APT-groep gericht op overheids- en diplomatieke entiteiten. Door de analyse van de toolset die de groep inzette, identificeerde ESET een aanval van GoldenJackal in 2019 op een Zuid-Aziatische ambassade in Wit-Rusland. De geïsoleerde systemen van de ambassade waren met aangepaste tools aangevallen. Het finale doel van GoldenJackal is hoogst waarschijnlijk het stelen van vertrouwelijke en zeer gevoelige informatie, van belangrijke systemen die wellicht niet aan internet gelinkt zijn. ESET presenteerde deze bevindingen op de Virus Bulletin-conferentie 2024.
Om het risico op inbraken te beperken, worden zeer gevoelige netwerken vaak van andere geïsoleerd. Meestal isoleren organisaties hun meest waardevolle systemen, zoals deze voor het stemmen en industriële systemen die elektriciteitsnetten aansturen. Vaak zijn dit de netwerken die voor aanvallers interessant zijn. Een geïsoleerd netwerk compromitteren vergt veel meer inspanningen dan het binnendringen in een aan internet gelinkt systeem, zodat frameworks ontworpen om geïsoleerde netwerken aan te vallen, tot nu toe uitsluitend door APT-groepen ontwikkeld zijn. Het doel van deze aanvallen is altijd spionage.
“In mei 2022 ontdekten we een toolset die we niet aan een APT-groep konden toeschrijven. Maar toen de aanvallers een tool gebruikten vergelijkbaar met een ervan die al openbaar gedocumenteerd was, konden we dieper analyseren en een verband leggen met de openbaar gedocumenteerde toolset van GoldenJackal. Door extrapolatie slaagden we erin een eerdere aanval te identificeren waarbij die openbaar gedocumenteerde toolset was ingezet, alsook een oudere toolset die ook mogelijkheden biedt om geïsoleerde systemen aan te vallen”, zegt Matías Porolli, de ESET-onderzoeker die GoldenJackal analyseerde.
GoldenJackal heeft overheidsinstanties in Europa, het Midden-Oosten en Zuid-Azië als doelwit. ESET detecteerde GoldenJackal-tools in een Zuid-Aziatische ambassade in Wit-Rusland in augustus en september 2019, en opnieuw in juli 2021. Volgens ESET-telemetrie, werd van mei 2022 tot maart 2024 nog een andere Europese overheidsorganisatie herhaaldelijk als doelwit genomen.
Met dit niveau van verfijning is het vrij ongebruikelijk dat GoldenJackal in vijf jaar niet één, maar twee afzonderlijke toolsets kon implementeren die ontworpen zijn om geïsoleerde systemen te compromitteren. Dit bewijst de vindingrijkheid van de groep. De aanvallen op die ambassade in Wit-Rusland gebruikten aangepaste tools die tot nu toe enkel in dat specifieke geval werden gezien. De campagne gebruikte drie hoofdcomponenten: GoldenDealer om uitvoerbare bestanden via USB-bewaking aan het geïsoleerde systeem te leveren; GoldenHowl, een modulaire backdoor met verschillende functionaliteiten; en GoldenRobo, een bestandsverzamelaar met exfiltrator.
“Als een slachtoffer een gecompromitteerde USB-stick in een geïsoleerd systeem plaatst en op een component klikt die het pictogram van een map heeft, maar een kwaadaardig uitvoerbaar bestand is, wordt GoldenDealer geïnstalleerd en uitgevoerd en begint het informatie te verzamelen over het systeem en slaat het op een USB-stick op. Wordt de stick opnieuw in de aan internet gelinkte pc geplaatst, dan haalt GoldenDealer de informatie over de geïsoleerde pc van de USB-stick en stuurt deze naar de C&C-server. Deze antwoordt met een of meer uitvoerbare bestanden die op de geïsoleerde pc uitgevoerd worden. Als de stick dan opnieuw in de geïsoleerde pc geplaatst wordt, haalt GoldenDealer de uitvoerbare bestanden van de stick en voert ze uit. Interactie van de gebruiker is niet nodig omdat GoldenDealer al wordt uitgevoerd”, legt Porolli uit.
In zijn laatste reeks aanvallen op een overheidsorganisatie in de EU, ging GoldenJackal van de originele toolset over op een nieuwe, zeer modulaire toolset. Deze aanpak was niet alleen van toepassing op de kwaadaardige tools, maar ook op de rollen van de gecompromitteerde hosts binnen het gecompromitteerde systeem. Deze werden onder andere gebruikt om interessante, wellicht vertrouwelijke informatie te verzamelen en te verwerken, om bestanden, configuraties en opdrachten naar andere systemen te distribueren en om bestanden te exfiltreren.
Voor een meer gedetailleerde analyse en technische analyse van de tools van GoldenJackal, bekijk de laatste blog van ESET Research “Mind the (air) gap: GoldenJackal gooses government guardrails” op www.welivesecurity.com. Volg ook ESET Research on Twitter (today known as X) voor de nieuwste info over ESET Research.
OVER ESET
ESET® biedt geavanceerde digitale beveiliging om aanvallen te voorkomen voor ze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET bekende en opkomende cyberdreigingen een stap voor, zodat bedrijven, kritieke infrastructuur en individuen beveiligd zijn. Gaat het om endpoint-, cloud- of mobiele bescherming, de ESET AI-native, cloud-first oplossingen en diensten blijven zeer efficiënt en gebruiksvriendelijk. De technologie van ESET biedt robuuste detectie en respons, ultraveilige encryptie en meervoudige authenticatie.
De 24/7 real time verdediging en sterke lokale ondersteuning zorgt ervoor dat gebruikers veilig zijn en dat bedrijven zonder onderbrekingen kunnen blijven draaien. Een digitaal landschap in constante evolutie vereist een progressieve benadering van de beveiliging: ESET zet zich in voor onderzoek van wereldklasse en krachtige informatie over dreigingen, ondersteund door R&D-centra en een sterk partnernetwerk op wereldvlak. Ga voor meer informatie naar www.eset.com. of volg ons op LinkedIn, Facebook, X en https://www.est.com/be-nl/
Meer lezen
