ESET: GoldenJackal APT-groep gebruikte een aangepaste toolset om air-gapped systemen te targeten

ESET-onderzoekers hebben een reeks aanvallen ontdekt die plaatsvonden in Europa van mei 2022 tot maart 2024, waarbij de aanvallers een toolset gebruikten die in staat was om air-gapped systemen te targeten, in een overheidsorganisatie van een land van de Europese Unie.

ESET wijst de campagne toe aan GoldenJackal, een cyberspionage APT-groep die zich richt op overheids- en diplomatieke entiteiten. Door de toolset van de groep te analyseren, identificeerde ESET een aanval die GoldenJackal eerder uitvoerde, in 2019, tegen een Zuid-Aziatische ambassade in Wit-Rusland die gericht was op de air-gapped systemen van de ambassade met aangepaste tools.

Het uiteindelijke doel van GoldenJackal is zeer waarschijnlijk het stelen van vertrouwelijke en zeer gevoelige informatie, vooral van high-profile machines die mogelijk niet zijn verbonden met het internet. ESET Research presenteerde hun bevindingen op de 2024 Virus Bulletin conferentie.

Om het risico op compromittering te minimaliseren, worden zeer gevoelige netwerken vaak air-gapped - geïsoleerd van andere netwerken. Meestal zullen organisaties hun meest waardevolle systemen, zoals stemsystemen en industriële besturingssystemen die stroomnetten beheren, air-gappen. Dit zijn vaak precies de netwerken die interessant zijn voor aanvallers. Het compromitteren van een air-gapped netwerk kost veel meer middelen dan het kraken van een systeem dat aan het internet verbonden is, wat betekent dat frameworks die zijn ontworpen om air-gapped netwerken aan te vallen tot nu toe uitsluitend zijn ontwikkeld door APT- groepen. Het doel van dergelijke aanvallen is altijd spionage.

“In mei 2022 ontdekten we een toolset die we niet konden toeschrijven aan een APT-groep. Maar toen de aanvallers een tool gebruikten die leek op één van de tools die al publiekelijk waren gedocumenteerd, konden we dieper graven en een verband vinden tussen de publiekelijk gedocumenteerde toolset van GoldenJackal en deze nieuwe. Op basis daarvan konden we een eerdere aanval identificeren waarbij de publiekelijk gedocumenteerde toolset was ingezet, evenals een oudere toolset die ook mogelijkheden heeft om air-gapped systemen aan te vallen,” zegt ESET-onderzoeker Matías Porolli, die de toolset van GoldenJackal analyseerde.

GoldenJackal heeft het gemunt op overheidsinstanties in Europa, het Midden-Oosten en Zuid-Azië. ESET detecteerde GoldenJackal tools op een Zuid-Aziatische ambassade in Wit-Rusland in augustus en september 2019, en opnieuw in juli 2021. Meer recentelijk, volgens ESET-telemetrie, werd een andere overheidsorganisatie in Europa herhaaldelijk het doelwit van mei 2022 tot maart 2024.

Met het vereiste niveau van geavanceerdheid is het vrij ongebruikelijk dat GoldenJackal er in vijf jaar in is geslaagd om niet één, maar twee afzonderlijke toolsets te implementeren die zijn ontworpen om luchtafgesloten systemen te compromitteren. Dit toont de veelzijdigheid van de groep aan.

Bij de aanvallen op een Zuid-Aziatische ambassade in Wit-Rusland werd gebruik gemaakt van aangepaste tools die we tot nu toe alleen in dit specifieke geval hebben gezien. De campagne gebruikte drie hoofdcomponenten: GoldenDealer om uitvoerbare bestanden te leveren aan het in de lucht afgetapte systeem via USB-monitoring; GoldenHowl, een modulaire backdoor met verschillende functionaliteiten; en GoldenRobo, een bestandsverzamelaar en exfiltrator.

“Wanneer een slachtoffer een gecompromitteerde USB-stick in een air-gapped systeem steekt en op een onderdeel klikt dat het pictogram van een map heeft, maar eigenlijk een kwaadaardig uitvoerbaar bestand is, dan wordt GoldenDealer geïnstalleerd en uitgevoerd, waarbij het begint met het verzamelen van informatie over het air-gapped systeem en deze opslaat op de USB-stick. Wanneer de USB-stick weer in de met internet verbonden pc wordt gestoken, haalt GoldenDealer de informatie over de via de air-gapped computer van de USB-stick en stuurt deze naar de C&C-server en stuurt deze naar de C&C-server. De server antwoordt met één of meer uitvoerbare bestanden die moeten worden uitgevoerd op de pc waarop lucht is aangesloten. Tot slot, wanneer de drive weer in de air-gapped PC wordt gestoken, haalt GoldenDealer de executables van de drive en voert ze uit. Er is geen gebruikersinteractie nodig omdat GoldenDealer al draait,” legt Porolli uit.

In de laatste reeks aanvallen tegen een overheidsorganisatie in de Europese Unie stapte GoldenJackal over van de oorspronkelijke toolset naar een nieuwe, zeer modulaire toolset. Deze modulaire aanpak gold niet alleen voor de kwaadaardige tools, maar ook voor de rollen van de getroffen hosts binnen het gecompromitteerde systeem: ze werden onder andere gebruikt om interessante, waarschijnlijk vertrouwelijke informatie te verzamelen en te verwerken, om bestanden, configuraties en commando's naar andere systemen te distribueren en om bestanden te exfiltreren.

Voor een meer gedetailleerde analyse en technische uitsplitsing van de tools van GoldenJackal, bekijk de laatste ESET Research blog post “Mind the (air) gap: GoldenJackal gooses government guardrails” op WeLiveSecurity.com.