Air-gapped system

GoldenJackalとして知られるAPTハッキング・グループが、2つのカスタム・ツールセットを使用して欧州のエアギャップされた政府システムへの侵入に成功し、電子メール、暗号化キー、画像、アーカイブ、文書などの機密データを盗み出した。

ESETのレポートによると、これは少なくとも2回起きており、1回は2019年9月にベラルーシの南アジア諸国の大使館に対して、もう1回は2021年7月に、もう1回は2022年5月から2024年3月の間にヨーロッパの政府組織に対して起きている。

2023年5月、カスペルスキーはGoldenJackalの活動について警告を発し、脅威行為者はスパイ活動の目的で政府や外交機関に焦点を当てていると指摘した。

JackalWorm」のようなUSBペンドライブで拡散されるカスタムツールの使用は知られていたが、エアギャップシステムの侵害に成功したケースはこれまで確認されていなかった。

エア・ギャップ・システムは、機密情報を管理する重要な業務で使用されることが多く、保護対策としてオープン・ネットワークから隔離されている。

エア)ギャップからの侵入

ESETが確認した旧式の攻撃は、インターネットに接続されたシステムに、トロイの木馬化されたソフトウェアや悪意のある文書を使用して、「GoldenDealer」と呼ばれるマルウェアに感染させることから始まります。

GoldenDealerは、これらのシステムにUSBドライブが挿入されるのを監視し、挿入されると、自動的にUSBドライブに自分自身と他の悪意のあるコンポーネントをコピーします。

最終的には、その同じUSBドライブがエアギャップされたコンピュータに挿入され、GoldenDealerがこれらの隔離されたシステムにGoldenHowl(バックドア)とGoldenRobo(ファイル窃盗)をインストールする。

この段階で、GoldenRoboはシステムをスキャンして文書、画像、証明書、暗号化キー、アーカイブ、OpenVPN設定ファイル、その他の貴重な情報を探し出し、USBドライブ上の隠しディレクトリに保存します。

USBドライブがエアギャップされたコンピュータから取り外され、元のインターネット接続されたシステムに再び接続されると、GoldenDealerはドライブに保存されている窃取データを脅威行為者のコマンド・アンド・コントロール(C2)サーバに自動的に送信します。

GoldenHowlは多機能なPythonバックドアで、ファイルの窃取、永続化の促進、脆弱性のスキャン、C2との直接通信を行います。ESETによると、インターネットに接続されたマシン上で実行されるように設計されているようです。

Overview of GoldenJackal attacks
GoldenJackal攻撃の概要
ソースはこちら:ESET

新しいモジュール式ツールセット

2022年、GoldenJackalは新しいGoベースのモジュール式ツールセットを使い始めました。このツールセットは前節で説明したものと同様の活動を行いますが、攻撃者は異なるマシンに別々の役割を負わせることができます。

たとえば、一部のマシンはファイルの流出に使用され、他のマシンはファイルのステージャや設定の配布ポイントとして機能しました。

USB感染に使用される新しいマルウェアはGoldenAceと名付けられ、ファイルを盗んで攻撃者に送信するツールは「GoldenUsbCopy」と「GoldenUsbGo」と名付けられ、後者は前者のより新しい亜種です。

Code comparison between GoldenUsbCopy and GoldenDealer
GoldenUsbCopyとGoldenDealerのコード比較
ソースはこちら:ESET

GoldenUsbGoはもはやAES暗号化コンフィギュレーションを使用しませんが、その代わりにハードコードされた命令に基づいてファイルを流出させます。これには、20 MBより小さく、特定の種類のコンテンツ(「pass」、「login」、「key」などのキーワード)または特定のファイルタイプ(.pdf、.doc/.docx、.sh、.bat)に一致する、最近(最大14日間)変更されたファイルが含まれます。

もう1つの興味深いマルウェア・コンポーネントは、GoldenBlacklist(およびそのPythonベースの実装であるGoldenPyBlacklist)で、侵害されたシステムから特定の電子メール・メッセージをフィルタリングし、流出前にアーカイブします。

最後に、盗んだ情報を攻撃者に電子メールで送信するGoldenMailerと、データをGoogleドライブにアップロードするGoldenDriveがある。

New toolset used in attacks in Europe
欧州の攻撃で使用された新しいツールセット
出典:ESET:ESET

Kasperskyのレポートに記載されているツールとも重複する2つのツールセットの存在は、GoldenJackalが新しいカスタム・マルウェアを開発し、秘密裏にスパイ活動を行うために最適化する能力を有していることを示しています。

これらすべてのツールに関連する侵害指標(IoC)の完全なリストについては、こちらのGitHubページをご覧ください。