Les chercheurs de Kaspersky ont commencé à surveiller le groupe à partir de mi-2020, et constaté des activités régulières et consistantes, caractérisant un acteur compétent et relativement furtif. La principale particularité de ce groupe repose sur sa boîte à outils spécifique, destinée à contrôler les appareils des personnes et organisations ciblées, à se propager sur l’ensemble du réseau infecté à l’aide de disques amovibles, pour en extraire certains fichiers sensibles, ce qui suggère que la motivation première de l’acteur est l’espionnage.
Comme le montre l’enquête de Kaspersky, l’acteur a utilisé de faux installateurs Skype et des documents Word malveillants comme vecteurs initiaux de ses attaques. Le faux installateur Skype est un fichier exécutable d’une taille d’environ 400 Mo. Il s’agit en fait d’un dropper contenant deux documents : le cheval de Troie JackalControl et un programme d’installation autonome légitime de Skype for business. La première utilisation de cet outil remonte à 2020. Un autre vecteur d’infection est un document malveillant qui utilise la technique d’injection de modèle à distance pour télécharger une page HTML malveillante, qui exploite la vulnérabilité Follina.

La première page d’un document malveillant
Le document s’intitule "Gallery of Officers Who Have Received National and Foreign Awards.docx" et se présente comme une circulaire légitime demandant des informations sur les officiers décorés par le gouvernement pakistanais. La première description de la vulnérabilité Follina a été publiée le 29 mai 2022, et ce document semble avoir été modifié le 1er juin, deux jours après la publication, pour finalement être détecté pour la première fois le 2 juin.
Le document a été configuré pour charger un objet externe à partir d’un site web légitime compromis. Une fois l’objet externe téléchargé, le fichier exécutable contenant un cheval de Troie JackalControl est exécuté.
JackalControl est le principal cheval de Troie utilisé dans la campagne. Il permet aux attaquants de contrôler la machine cible à distance par le biais d’un ensemble de commandes prédéfinies. Au fil des années, les attaquants ont distribué différentes variantes de ce logiciel malveillant : certaines incluent du code pour être plus persistantes, d’autres ont été configurées pour s’exécuter sans infecter le système. La machine est généralement infectée par d’autres composants, comme un script batch par exemple.
Le second outil le plus employé par GoldenJackal est le JackalSteal. Cet outil peut être utilisé pour surveiller les lecteurs USB amovibles, les partages à distance et tous les lecteurs logiques du système ciblé. Le logiciel malveillant peut fonctionner comme un processus standard ou comme un service. Il ne peut pas se maintenir et doit donc être installé par un autre composant.
Enfin, GoldenJackal utilise un certain nombre d’outils supplémentaires, tels que JackalWorm, JackalPerInfo et JackalScreenWatcher. Ils sont déployés dans des cas spécifiques étudiés par les chercheurs de Kaspersky. Cet ensemble d’outils vise à contrôler les machines des victimes, à subtiliser leurs informations de connexion, à faire des captures d’écran du bureau et ainsi de suite, avec l’espionnage en ligne de mire.

« GoldenJackal est un acteur APT intéressant qui s’efforce à agir discrètement : bien qu’il ait lancé ses opérations en juin 2019, il a réussi à rester sous le radar. Possédant un ensemble d’outils malveillants avancés, il a été assez prolifique dans ses attaques contre des entités gouvernementales et diplomatiques au Moyen-Orient et en Asie du Sud. Étant donné que certains implants de logiciels malveillants sont encore en phase de développement, il est essentiel que les équipes de cybersécurité soient à l’affût de toutes les attaques possibles qui pourraient être menées par l’acteur. Nous espérons que notre analyse contribuera à prévenir les activités de GoldenJackal », commente Giampaolo Dedola, chercheur principal en sécurité au sein de l’équipe mondiale de recherche et d’analyse (GReAT) de Kaspersky.

Afin d’éviter d’être victime d’une attaque ciblée par un acteur connu ou inconnu, les chercheurs de Kaspersky recommandent de mettre en œuvre les mesures suivantes :
• Donnez à votre équipe SOC l’accès aux dernières informations sur les menaces (TI). Le portail Kaspersky Threat Intelligence Portal est un point d’accès unique aux renseignements sur les menaces pour les entreprises, qui fournit des données sur les cyberattaques et des informations recueillies par Kaspersky depuis plus de 20 ans.
• Améliorez les compétences de votre équipe de cybersécurité pour faire face aux dernières menaces ciblées grâce à la formation en ligne Kaspersky développée par les experts de GReAT.
• Pour la détection au niveau des terminaux, l’investigation et la remédiation rapide des incidents, mettez en œuvre des solutions EDR telles que Kaspersky Endpoint Detection and Response.
• En plus de l’adoption d’une solution de protection de base des terminaux, il convient de mettre en œuvre une solution de sécurité d’entreprise qui détecte les menaces avancées au niveau du réseau à un stade précoce, telle que Kaspersky Anti Targeted Attack Platform.
Comme de nombreuses attaques ciblées commencent par du phishing ou d’autres techniques d’ingénierie sociale, proposez une formation de sensibilisation à la sécurité et enseignez des compétences pratiques à votre équipe, par le biais, par exemple, de la Kaspersky Automated Security Awareness Platform.