Un nuovo attore di minaccia persistente avanzato chiamato GoldenJackal è stato identificato dalla società russa di cybersecurity Kaspersky come bersaglio di enti governativi e diplomatici del Medio Oriente e del Sud Asia. Caratterizzato come capace e furtivo, il gruppo è attivo da almeno quattro anni ed è sospettato di essere sponsorizzato dallo stato a causa dei suoi tentativi di rimanere non individuato. L’ambito della campagna è focalizzato su Afghanistan, Azerbaigian, Iran, Iraq, Pakistan e Turchia, dove l’attore sta distribuendo malware su misura per rubare dati, propagarsi attraverso sistemi tramite unità rimovibili e condurre sorveglianza.
La via iniziale utilizzata per violare i computer bersaglio è sconosciuta, ma le prove suggeriscono l’uso di installatori Skype taroccati e documenti Microsoft Word dannosi. L’installatore serve come condotto per consegnare un trojan basato su .NET chiamato JackalControl, mentre i file Word stanno armando la vulnerabilità Follina (CVE-2022-30190) per rilasciare lo stesso malware. Inoltre, JackalSteal, JackalWorm, JackalPerInfo e JackalScreenWatcher vengono utilizzati per raccogliere dati, diffondere l’infezione e catturare schermate.
I ricercatori di Kaspersky hanno inoltre osservato il gruppo che utilizza siti WordPress compromessi come relè per inoltrare le richieste web al server di comando e controllo (C2) effettivo tramite un file PHP fasullo iniettato nei siti web. Questa tattica è probabilmente utilizzata per ridurre la visibilità e limitare il numero di vittime. Lo sviluppo continuo del toolkit dell’attore indica che stanno ancora investendo in esso.
Source: Hackernews
Per mitigare queste potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.