Un nuevo actor de amenaza persistente avanzada llamado GoldenJackal ha sido identificado por la empresa rusa de ciberseguridad Kaspersky como objetivo de entidades gubernamentales y diplomáticas en el Medio Oriente y el sur de Asia. Caracterizado como capaz y sigiloso, el grupo ha estado activo por lo menos durante cuatro años y se sospecha que es patrocinado por el estado debido a sus intentos de permanecer oculto. El alcance de la campaña está enfocado en Afganistán, Azerbaiyán, Irán, Irak, Pakistán y Turquía, donde el actor está desplegando malware a medida para robar datos, propagarse a través de sistemas a través de unidades extraíbles y realizar vigilancia.
La ruta inicial empleada para penetrar en las computadoras objetivo es desconocida, pero hay evidencia de que se está usando instaladores de Skype trojanizados y documentos de Microsoft Word maliciosos. El instalador sirve como un conducto para entregar un troyano basado en .NET llamado JackalControl, mientras que los archivos de Word están armando la vulnerabilidad Follina (CVE-2022-30190) para descargar el mismo malware. Además, JackalSteal, JackalWorm, JackalPerInfo y JackalScreenWatcher se están utilizando para recopilar datos, propagar infecciones y tomar capturas de pantalla.
Los investigadores de Kaspersky también han observado que el grupo está usando sitios de WordPress pirateados como un repetidor para reenviar solicitudes web al servidor de comando y control (C2) real mediante un archivo PHP falso insertado en los sitios web. Esta táctica es probablemente utilizada para reducir la visibilidad y limitar el número de víctimas. El desarrollo continuo de la herramienta del actor indica que todavía está invirtiendo en ella.
Source: Hackernews
Para mitigar estas posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.