草の中のキンイロジャッカル
画像: Bing Create

「GoldenJackal」という名前の比較的知られていない高度持続的脅威 (APT) グループは、2019 年以来、アジアの政府および外交機関をスパイ活動の目的でターゲットにしています。

脅威アクターは、ステルス性を重視して目立たないようにして、被害者を慎重に選択し、暴露の可能性を減らすために攻撃の数を最小限に抑えています。

Kaspersky は 2020 年から GoldenJackal を追跡しており、本日、この攻撃者がアフガニスタン、アゼルバイジャン、イラン、イラク、パキスタン、トルコで顕著な活動を行っていると報告しています。

「GoldenJackal は 2019 年から活動している APT グループで、通常は中東と南アジアの政府や外交機関をターゲットにしています」とカスペルスキーは説明します。

「彼らが何年も前に活動を始めたという事実にもかかわらず、このグループは一般に知られておらず、私たちが知る限り、公に説明されていません。」

APT の感染ベクターは不明です。ただし、研究者らは、Microsoft Office Follina の脆弱性を悪用するためにリモート テンプレート インジェクション技術を使用する、悪意のあるドキュメントによるフィッシング操作の兆候を観察しました。

さらにカスペルスキーは、トロイの木馬化された「Skype for Business」インストーラーがソフトウェアの正規コピーとともにトロイの木馬を投下する事例も確認しています。

Kaspersky のアナリストは、コードと TTP (技術、戦術、手順) が Turla と類似していることに気づきましたが、GoldenJackal を別のアクティビティ クラスターとして追跡しています。

豊富なカスタム「Jackal」ツールセット

Kaspersky によると、GoldenJackal は一連のカスタム .NET マルウェア ツールを使用しており、資格情報のダンピング、データ窃取、マルウェアの読み込み、水平方向の移動、ファイルの抽出などのさまざまな機能を提供します。

システムに感染するために最初に使用される主なペイロードは「 JackalControl 」で、これにより攻撃者は感染したコンピュータをリモート制御できるようになります。

このマルウェアはプログラムまたは Windows サービスとして実行でき、レジストリ キー、Windows スケジュールされたタスク、または Windows サービスを追加することで永続性を確立できます。

HTTP POST リクエストを介して C2 サーバーからエンコードされたコマンドを受信します。これは、任意のプログラムの実行、ファイルの漏洩、または C2 からの追加ペイロードの取得に関係します。

HTTP POSTリクエストの構造
HTTP POST リクエストの構造(カスペルスキー)

ハッカーが使用した 2 番目のツールは「 JackalSteal 」です。これは、リモート共有や新しく接続された USB ドライブを含む、侵害されたコンピュータ上のすべての論理ドライブからのデータ抽出専用のインプラントです。

攻撃者は、ターゲットのファイルの種類、パス、サイズ、ファイルが最後に使用された時期を決定する引数を指定してスティーラーを実行し、セキュリティ ツールが監視する可能性のある特定のパスを除外することができます。

設定されたパラメータに一致するすべてのファイルは、AES、RSA、または DES を使用して暗号化され、GZIP で圧縮されて、最終的に C2 サーバーに送信されます。

GoldenJackal の武器庫の 3 番目のツールは「 JackalWorm 」です。これは USB ドライブに感染し、他の貴重なコンピュータに拡散する可能性があります。

カスペルスキーのレポートには、「マルウェアはリムーバブル USB ストレージ デバイスを検出すると、そのデバイスに自身をコピーします」と書かれています。

「同じディレクトリ名を使用してドライブのルート上に自身のコピーを作成し、ディレクトリの属性を「非表示」に変更します。これにより、実際のディレクトリが非表示になり、そのディレクトリ名を持つマルウェアのコピーに置き換えられます。」

その性質を難読化し、被害者をだまして実行させるために、「JackalWorm」はリムーバブル ドライブ上の Windows ディレクトリ アイコンを使用します。

その場合、ワームはホスト システムに感染し、スケジュールされたタスクを作成して永続性を確立し、USB ドライブからそのコピーを消去します。

USBドライブ上のワーム
USB ドライブ上で実行可能なワーム(カスペルスキー)

Golden Jackal APT が使用する 4 番目のツールは「 JacklPerInfo 」です。これは、Web ブラウザに保存されている閲覧履歴と認証情報を識別して抽出する追加機能を備えた基本的なシステム情報コレクターです。

JacklPerInfo は、典型的な情報窃取マルウェアと同様に、デスクトップ、ドキュメント、ダウンロード、および AppDataRoamingMicrosoftWindowsRecent ディレクトリからファイルを窃取することもできます。

スティーラーのターゲットとなるファイルの一部
スティーラーのターゲットとなるファイル(カスペルスキー)

Kaspersky のレポートで紹介されている 5 番目で最後のマルウェア ツールは「 JackalScreenWatcher 」で、感染したデバイスでスクリーンショットを撮るために使用されます。

オペレーターは解像度と画像キャプチャの時間間隔を指定でき、ツールは暗号化されたペイロードの形式で HTTP POST リクエストを介してメディアを C2 に送信します。

結論として、GoldenJackal は、カスペルスキーが長期にわたるスパイ活動と考えているものを実行するために、限られた数の被害者に対して広範なカスタム ツールのセットを慎重に使用してきました。

APT の運用戦術についてはほとんどわかっていませんが、観察された感染チェーンの多様性と高度な機能を備えたマルウェア ツールの組み合わせから、これが高度な攻撃者であることは疑いの余地がありません。