卡巴斯基发现了一个新的网络犯罪组织。这个名为 GoldenJackal 的组织自 2019 年以来一直活跃，但没有公开形象，在很大程度上仍然是个谜。根据研究获得的信息，该团伙主要针对中东和南亚地区的公共和外交机构。

卡巴斯基于 2020 年年中开始监控 GoldenJakal。该组对应于熟练且适度隐藏的威胁演员，并表现出一致的活动流程。该组织的主要特点是他们的目标是劫持计算机，通过可移动驱动器在系统之间传播并窃取某些文件。这表明威胁行为者的主要目的是间谍活动。

根据卡巴斯基的研究，威胁行为者使用虚假的 Skype 安装程序和恶意 Word 文档作为攻击的初始向量。伪造的 Skype 安装程序由一个大约 400 MB 的可执行文件组成，并包含 JackalControl 木马和合法的 Skype for Business 安装程序。该工具的首次使用可追溯到 2020 年。另一种感染媒介基于利用 Follina 漏洞的恶意文档，使用远程模板注入技术下载专门构建的 HTML 页面。

该文件的标题是“Gallery of Officers Who Have Received National and Foreign Awards.docx”，似乎是一份合法的通告，要求提供有关巴基斯坦政府授予的官员的信息。根据记录，有关 Follina 漏洞的信息于 29 年 2022 月 1 日首次共享，并在漏洞发布两天后的 2 月 XNUMX 日更改了文档。该文件于 XNUMX 月 XNUMX 日首次被发现。在下载外部文档对象后启动包含 JackalControl 特洛伊木马恶意软件的可执行文件，该文件对象配置为从合法且受感染的网站加载外部对象。

JackalControl 攻击，远程控制

JackalControl 攻击是允许攻击者远程控制目标机器的主要特洛伊木马程序。多年来，攻击者一直在分发此恶意软件的不同变体。一些变体包含额外的代码以保持其永久性，而其他变体则配置为在不感染系统的情况下运行。机器通常通过批处理脚本等其他组件被感染。

GoldenJackal 组织广泛使用的第二个重要工具是 JackalSteal。此工具可用于监视目标系统中的可移动 USB 驱动器、远程共享和所有逻辑驱动器。恶意软件可以作为标准进程或服务运行。但是，它不能保持其持久性，因此需要由另一个组件加载。

最后，GoldenJackal 使用了一些附加工具，例如 JackalWorm、JackalPerInfo 和 JackalScreenWatcher。这些工具用于卡巴斯基研究人员目睹的特定情况。该工具包旨在控制受害者的机器、窃取凭据、截取桌面屏幕截图，并表明间谍活动的倾向是最终目标。

卡巴斯基全球研究与分析团队 (GReAT) 高级安全研究员 Giampaolo Dedola 表示：

“GoldenJackal 是一位有趣的 APT 演员，他试图以低调的方式远离人们的视线。尽管他们于 2019 年 XNUMX 月首次开始运营，但他们仍设法保持隐蔽。凭借先进的恶意软件工具包，该攻击者在对中东和南亚的公共和外交组织的攻击中非常多产。由于一些恶意软件嵌入仍在开发中，因此网络安全团队必须密切关注该参与者可能发起的攻击。我们希望我们的分析将有助于防止 GoldenJackal 的活动。”