Kaspersky ने एक नए साइबर क्राइम ग्रुप की खोज की है। गोल्डनजैकल नामक समूह 2019 से सक्रिय है, लेकिन इसकी कोई सार्वजनिक प्रोफ़ाइल नहीं है और यह काफी हद तक एक रहस्य बना हुआ है। शोध से मिली जानकारी के मुताबिक यह समूह मुख्य रूप से मध्य पूर्व और दक्षिण एशिया में सार्वजनिक और राजनयिक संस्थानों को निशाना बनाता है।
Kaspersky ने 2020 के मध्य में GoldenJakal की निगरानी शुरू कर दी थी। यह समूह एक कुशल और मध्यम रूप से छिपे हुए खतरे वाले अभिनेता से मेल खाता है और गतिविधि का एक सतत प्रवाह प्रदर्शित करता है। समूह की मुख्य विशेषता यह है कि उनका लक्ष्य कंप्यूटरों को हाईजैक करना, रिमूवेबल ड्राइव के माध्यम से सिस्टम के बीच फैलाना और कुछ फाइलों को चुराना है। इससे पता चलता है कि धमकी देने वाले अभिनेता का मुख्य उद्देश्य जासूसी है।
कास्परस्की के शोध के अनुसार, धमकी देने वाला अभिनेता हमलों के लिए शुरुआती वैक्टर के रूप में नकली स्काइप इंस्टालर और दुर्भावनापूर्ण वर्ड दस्तावेज़ों का उपयोग करता है। नकली स्काइप इंस्टॉलर में लगभग 400 एमबी की निष्पादन योग्य फ़ाइल होती है और इसमें जैकलकंट्रोल ट्रोजन और बिजनेस इंस्टॉलर के लिए एक वैध स्काइप होता है। इस टूल का पहला उपयोग 2020 से पहले का है। एक अन्य संक्रमण वेक्टर एक दुर्भावनापूर्ण दस्तावेज़ पर आधारित है जो एक उद्देश्य-निर्मित HTML पृष्ठ को डाउनलोड करने के लिए रिमोट टेम्पलेट इंजेक्शन तकनीक का उपयोग करके फोलिना भेद्यता का शोषण करता है।
दस्तावेज़ का शीर्षक "राष्ट्रीय और विदेशी पुरस्कार प्राप्त करने वाले अधिकारियों की गैलरी.docx" है और पाकिस्तानी सरकार द्वारा सम्मानित अधिकारियों के बारे में जानकारी का अनुरोध करने वाला एक वैध सर्कुलर प्रतीत होता है। फोलिना भेद्यता पर जानकारी पहली बार 29 मई, 2022 को साझा की गई थी, और रिकॉर्ड के अनुसार भेद्यता जारी होने के दो दिन बाद 1 जून को दस्तावेज़ को बदल दिया गया था। दस्तावेज़ को पहली बार 2 जून को देखा गया था। एक वैध और समझौता वेबसाइट से बाहरी वस्तु को लोड करने के लिए कॉन्फ़िगर किए गए बाहरी दस्तावेज़ ऑब्जेक्ट को डाउनलोड करने के बाद जैकलकंट्रोल ट्रोजन मैलवेयर युक्त निष्पादन योग्य लॉन्च करना।
सियार नियंत्रण हमला, दूर से नियंत्रित
जैकलकंट्रोल हमला मुख्य ट्रोजन के रूप में कार्य करता है जो हमलावरों को लक्ष्य मशीन को दूरस्थ रूप से नियंत्रित करने की अनुमति देता है। पिछले कुछ वर्षों में, हमलावर इस मैलवेयर के विभिन्न रूपों को वितरित कर रहे हैं। कुछ रूपों में उनके स्थायित्व को बनाए रखने के लिए अतिरिक्त कोड होते हैं, जबकि अन्य सिस्टम को संक्रमित किए बिना संचालित करने के लिए कॉन्फ़िगर किए जाते हैं। मशीनें अक्सर बैच स्क्रिप्ट जैसे अन्य घटकों के माध्यम से संक्रमित होती हैं।
गोल्डनजैकल समूह द्वारा व्यापक रूप से उपयोग किया जाने वाला दूसरा महत्वपूर्ण उपकरण जैकालस्टील है। इस उपकरण का उपयोग हटाने योग्य यूएसबी ड्राइव, रिमोट शेयर और लक्षित सिस्टम में सभी लॉजिकल ड्राइव की निगरानी के लिए किया जा सकता है। मैलवेयर एक मानक प्रक्रिया या सेवा के रूप में चल सकता है। हालाँकि, यह अपनी दृढ़ता को बनाए नहीं रख सकता है और इसलिए इसे दूसरे घटक द्वारा लोड करने की आवश्यकता है।
अंत में, गोल्डनजैकल कई अतिरिक्त टूल का उपयोग करता है जैसे कि जैकलवॉर्म, जैकलपरइन्फो और जैकलस्क्रीनवॉचर। इन उपकरणों का उपयोग कैस्पर्सकी शोधकर्ताओं द्वारा देखी गई विशिष्ट स्थितियों में किया जाता है। इस टूलकिट का उद्देश्य पीड़ितों की मशीनों को नियंत्रित करना, क्रेडेंशियल्स चुराना, डेस्कटॉप के स्क्रीनशॉट लेना और अंतिम लक्ष्य के रूप में जासूसी की प्रवृत्ति का संकेत देना है।
Kaspersky Global Research and Analysis Team (GReAT) के वरिष्ठ सुरक्षा शोधकर्ता ग्याम्पाओलो डेडोला ने कहा:
“गोल्डनजैकल एक दिलचस्प एपीटी अभिनेता है जो अपने लो प्रोफाइल के साथ नज़रों से दूर रहने की कोशिश कर रहा है। जून 2019 में पहला ऑपरेशन शुरू करने के बावजूद, वे छिपे रहने में कामयाब रहे। एक उन्नत मालवेयर टूलकिट के साथ, यह अभिनेता मध्य पूर्व और दक्षिण एशिया में सार्वजनिक और राजनयिक संगठनों पर अपने हमलों में अत्यधिक सफल रहा है। जैसा कि कुछ मैलवेयर एम्बेड अभी भी विकास में हैं, साइबर सुरक्षा टीमों के लिए इस अभिनेता द्वारा संभावित हमलों पर नज़र रखना महत्वपूर्ण है। हमें उम्मीद है कि हमारा विश्लेषण गोल्डनजैकल की गतिविधियों को रोकने में मदद करेगा।"