Новый актер угрозы продолжительного присутствия (APT), получивший название GoldenJackal, был идентифицирован российской кибербезопасной компанией Kaspersky. Он нацелен на правительственные и дипломатические объекты на Ближнем Востоке и в Южной Азии. Группу характеризуют как способную и скрытную, и она активна уже как минимум четыре года, что вызывает подозрения, что она спонсируется государством из-за попыток оставаться незамеченной. Масштаб кампании сосредоточен на Афганистане, Азербайджане, Иране, Ираке, Пакистане и Турции, где используется специальное вредоносное ПО для кражи данных, распространения по системам через съемные диски и проведения наблюдения.
Доказательства предполагают, что первоначальный путь, используемый для проникновения в целевые компьютеры, проходит через троянизированные установщики Skype и вредоносные документы Microsoft Word. Установщик используется для доставки трояна на базе .NET, называемого JackalControl, в то время как Word файлы эксплуатируют уязвимость Follina (CVE-2022-30190) для внедрения того же вредоносного ПО. JackalSteal, JackalWorm, JackalPerInfo и JackalScreenWatcher также используются для сбора данных, распространения заражения и создания снимков экрана.
Исследователи из Kaspersky заметили, что группа использует взломанные сайты WordPress в качестве ретранслятора для переадресации веб-запросов на реальный сервер управления и контроля (C2) посредством вредоносного PHP-файла, внедренного в веб-сайты, вероятно, для снижения видимости и ограничения числа жертв. Непрерывное развитие инструментария актера указывает на то, что они продолжают вкладывать в него средства.
Source: Hackernews
Чтобы смягчить эти потенциальные угрозы, важно внедрить дополнительные меры кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сделать это самостоятельно, используя check.website.