Un nou actor d’amenaces persistent avançat anomenat GoldenJackal ha estat identificat per la firma russa de ciberseguretat Kaspersky com a objectiu d’entitats governamentals i diplomàtiques del Pròxim Orient i l’Àsia del Sud. Caracteritzat com a capaç i astut, el grup ha estat actiu durant almenys quatre anys i s’estima que està patrocinat per l’Estat a causa dels seus intents per romandre ocult. L’abast de la campanya es centra a Afganistan, Azerbaidjan, Iran, Iraq, Pakistan i Turquia, on l’actor està desplegant malware adaptat per robar dades, propagar-se per sistemes a través de dispositius extraïbles i realitzar vigilància.
La via inicial emprada per trencar les màquines objectiu és desconeguda, però les proves indiquen l’ús d’instal·ladors de Skype troianitzats i documents de Microsoft Word maliciosos. L’instal·lador serveix com a conducte per lliurar un troià basat en .NET anomenat JackalControl, mentre que els fitxers de Word estan armant la vulnerabilitat Follina (CVE-2022-30190) per deixar el mateix malware. A més, JackalSteal, JackalWorm, JackalPerInfo i JackalScreenWatcher s’estan utilitzant per recopilar dades, propagar l’infecció i fer captures de pantalla.
Els investigadors de Kaspersky també han observat que el grup està utilitzant llocs web de WordPress compromesos com a relé per reenviar les sol·licituds web al servidor de comandament i control (C2) real mitjançant un fitxer PHP maliciós injectat als llocs web. Aquesta tàctica és probablement emprada per reduir la visibilitat i limitar el nombre de víctimes. El desenvolupament continu de la caixa d’eines de l’actor indica que encara estan invertint en ella.
Source: Hackernews
Per mitigar aquestes amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.