ESET Research: GoldenJackal APT-groep, met tools die geschikt zijn voor air-gap, richt zich op systemen in Europa om vertrouwelijke gegevens te stelen

• GoldenJackal, een Advanced Persistent Threat-groepering (APT-groep)  , gebruikte een aangepaste toolset om air-gapped systemen te targeten op een Zuid-Aziatische ambassade in Wit-Rusland sinds augustus 2019.
• Bij een andere aanval heeft GoldenJackal tussen mei 2022 en maart 2024 bij verschillende gelegenheden in Europa een zeer modulaire toolset ingezet tegen een overheidsorganisatie in een land van de Europese Unie.
• Deze toolsets voorzien GoldenJackal van een brede set mogelijkheden om gerichte netwerken aan te vallen en daar te blijven. Slachtoffer systemen krijgen verschillende rollen in het lokale netwerk, van het verzamelen van interessante – waarschijnlijk vertrouwelijke – informatie, tot het verwerken van de informatie, het distribueren van bestanden, configuraties en commando’s naar andere systemen, of het exfiltreren van bestanden.
• Het uiteindelijke doel van GoldenJackal is hoogstwaarschijnlijk het stelen van vertrouwelijke informatie, vooral van high-profile machines die opzettelijk zijn geïsoleerd van het internet.

Sliedrecht, 7 oktober 2024 – ESET-onderzoekers hebben een reeks aanvallen ontdekt die plaatsvonden in Europa van mei 2022 tot maart 2024, waarbij de aanvallers een toolset gebruikten die in staat was om air-gapped systemen te targeten, in een overheidsorganisatie van een land van de Europese Unie. ESET wijst de campagne toe aan GoldenJackal, een cyberspionage APT-groep die zich richt op overheids- en diplomatieke entiteiten. Door de toolset van de groep te analyseren, identificeerde ESET een aanval die GoldenJackal eerder uitvoerde, in 2019, tegen een Zuid-Aziatische ambassade in Wit-Rusland die gericht was op de air-gapped systemen van de ambassade met aangepaste tools. Het uiteindelijke doel van GoldenJackal is zeer waarschijnlijk het stelen van vertrouwelijke en zeer gevoelige informatie, vooral van high-profile machines die mogelijk niet zijn verbonden met het internet. ESET Research presenteerde hun bevindingen op de 2024 Virus Bulletin conferentie.

Om het risico op compromittering te minimaliseren, worden zeer gevoelige netwerken vaak air-gapped – geïsoleerd van andere netwerken. Meestal zullen organisaties hun meest waardevolle systemen, zoals stemsystemen en industriële besturingssystemen die stroomnetten beheren, air-gappen. Dit zijn vaak precies de netwerken die interessant zijn voor aanvallers. Het compromitteren van een air-gapped netwerk kost veel meer middelen dan het kraken van een systeem dat aan het internet verbonden is, wat betekent dat frameworks die zijn ontworpen om air-gapped netwerken aan te vallen tot nu toe uitsluitend zijn ontwikkeld door APT- groepen. Het doel van dergelijke aanvallen is altijd spionage.

“In mei 2022 ontdekten we een toolset die we niet konden toeschrijven aan een APT-groep. Maar toen de aanvallers een tool gebruikten die leek op één van de tools die al publiekelijk waren gedocumenteerd, konden we dieper graven en een verband vinden tussen de publiekelijk gedocumenteerde toolset van GoldenJackal en deze nieuwe. Op basis daarvan konden we een eerdere aanval identificeren waarbij de publiekelijk gedocumenteerde toolset was ingezet, evenals een oudere toolset die ook mogelijkheden heeft om air-gapped systemen aan te vallen,” zegt ESET-onderzoeker Matías Porolli, die de toolset van GoldenJackal analyseerde.

GoldenJackal heeft het gemunt op overheidsinstanties in Europa, het Midden-Oosten en Zuid-Azië. ESET detecteerde GoldenJackal tools op een Zuid-Aziatische ambassade in Wit-Rusland in augustus en september 2019, en opnieuw in juli 2021. Meer recentelijk, volgens ESET-telemetrie, werd een andere overheidsorganisatie in Europa herhaaldelijk het doelwit van mei 2022 tot maart 2024.

Met het vereiste niveau van geavanceerdheid is het vrij ongebruikelijk dat GoldenJackal er in vijf jaar in is geslaagd om niet één, maar twee afzonderlijke toolsets te implementeren die zijn ontworpen om luchtafgesloten systemen te compromitteren. Dit toont de veelzijdigheid van de groep aan. Bij de aanvallen op een Zuid-Aziatische ambassade in Wit-Rusland werd gebruik gemaakt van aangepaste tools die we tot nu toe alleen in dit specifieke geval hebben gezien. De campagne gebruikte drie hoofdcomponenten: GoldenDealer om uitvoerbare bestanden te leveren aan het in de lucht afgetapte systeem via USB-monitoring; GoldenHowl, een modulaire backdoor met verschillende functionaliteiten; en GoldenRobo, een bestandsverzamelaar en exfiltrator.

“Wanneer een slachtoffer een gecompromitteerde USB-stick in een air-gapped systeem steekt en op een onderdeel klikt dat het pictogram van een map heeft, maar eigenlijk een kwaadaardig uitvoerbaar bestand is, dan wordt GoldenDealer geïnstalleerd en uitgevoerd, waarbij het begint met het verzamelen van informatie over het air-gapped systeem en deze opslaat op de USB-stick. Wanneer de USB-stick weer in de met internet verbonden pc wordt gestoken, haalt GoldenDealer de informatie over de via de air-gapped computer van de USB-stick en stuurt deze naar de C&C-server en stuurt deze naar de C&C-server. De server antwoordt met één of meer uitvoerbare bestanden die moeten worden uitgevoerd op de pc waarop lucht is aangesloten. Tot slot, wanneer de drive weer in de air-gapped PC wordt gestoken, haalt GoldenDealer de executables van de drive en voert ze uit. Er is geen gebruikersinteractie nodig omdat GoldenDealer al draait,” legt Porolli uit.

In de laatste reeks aanvallen tegen een overheidsorganisatie in de Europese Unie stapte GoldenJackal over van de oorspronkelijke toolset naar een nieuwe, zeer modulaire toolset. Deze modulaire aanpak gold niet alleen voor de kwaadaardige tools, maar ook voor de rollen van de getroffen hosts binnen het gecompromitteerde systeem: ze werden onder andere gebruikt om interessante, waarschijnlijk vertrouwelijke informatie te verzamelen en te verwerken, om bestanden, configuraties en commando’s naar andere systemen te distribueren en om bestanden te exfiltreren.

Voor een meer gedetailleerde analyse en technische uitsplitsing van de tools van GoldenJackal, bekijk de laatste ESET Research blog post “Mind the (air) gap: GoldenJackal gooses government guardrails” op WeLiveSecurity.com. Zorg ervoor dat je ESET Research volgt op Twitter (tegenwoordig bekend als X) voor het laatste nieuws.

Over ESET

ESET® is het grootste IT-security bedrijf uit de Europese Unie en biedt al meer dan drie decennia geavanceerde digitale beveiliging om aanvallen te voorkomen nog voordat ze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET bekende en opkomende cyberdreigingen voor en beveiligt zo bedrijven, kritieke infrastructuur en individuen. Of het nu gaat om endpoint-, cloud- of mobiele bescherming, onze AI-native, cloud-first oplossingen en diensten zijn zeer effectief en gebruiksvriendelijk. ESET’s bekroonde technologie bevat robuuste detectie en respons, ultraveilige encryptie en multifactor authenticatie. Met 24/7 real-time verdediging en sterke lokale ondersteuning houden we gebruikers veilig en bedrijven draaiende zonder onderbreking. Een constant veranderend digitaal landschap vraagt om een vooruitstrevende benadering van beveiliging: ESET is toegewijd aan wetenschap en zet zich in voor grondig onderzoek en betrouwbare dreigingsintelligentie, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Samen met onze partners beschermen we vooruitgang en streven we naar een veilige digitale toekomst voor iedereen. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en X. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en X.