Содержание |
История
2024: Атаки на изолированные от интернета правительственные учреждения
В начале октября 2024 года исследователи кибербезопасности ESET обнаружили новые инструменты, используемые хакерской группировкой GoldenJackal против правительственных и дипломатических учреждений в Европе, на Ближнем Востоке и в Южной Азии.
GoldenJackal — малоизвестная группа хакеров, активная по крайней мере с 2019 года. Ее мишенями уже становились посольство Южной Азии в Беларуси и неназванная правительственная организация Европейского союза. Инструменты, используемые группой, в первую очередь предназначены для атак на изолированные системы — компьютерные сети, которые физически изолированы от незащищенных сетей, включая Интернет. Обычно организации изолируют самые важные сети, например, системы голосования и промышленные системы управления, чтобы минимизировать риск компрометации.
Среди прочего в 2019 году хакеры использовали вредоносное ПО GoldenDealer для доставки исполняемых файлов в изолированную систему через USB-мониторинг, бэкдор GoldenHowl и GoldenRobo — сборщик и эксфильтратор файлов. В ходе атаки в мае 2022 года группа использовала другой специализированный набор инструментов, способный собирать файлы с USB-накопителей, распространять полезную нагрузку по сети через USB-накопители, извлекать файлы и использовать определенные компьютеры в сети в качестве серверов для доставки различных вредоносных файлов в другие системы.Как с помощью EvaProject и EvaWiki построить прозрачную бесшовную среду для успешной работы крупного холдинга
По словам исследователей, GoldenJackal применял модульный подход, используя различные компоненты для выполнения различных задач. Например, GoldenUsbCopy отслеживает подключение USB-накопителей и копирует интересующие хакеров файлы в зашифрованный контейнер, хранящийся на диске, GoldenBlacklist загружает зашифрованный архив с локального сервера и обрабатывает содержащиеся в нем сообщения электронной почты, оставляя только те, которые представляют интерес, а GoldenMailer извлекает файлы, отправляя электронные письма с вложениями на контролируемые злоумышленниками учетные записи. Исследователи ESET не смогли определить, как хакеры изначально получили доступ к целевым системам.[1]