นักวิจัยของ Kaspersky เปิดเผยการค้นพบกลุ่ม Hacker ใหม่ ที่มีความสามารถระดับสูง Advanced Persistent Threat (APT) ในชื่อ GoldenJackal ซึ่งมีเป้าหมายการโจมตีไปยังรัฐบาลของประเทศในตะวันออกกลาง และเอเชียใต้
โดย Kaspersky ได้ติดตามการดำเนินการของกลุ่ม GoldenJackal มาตั้งแต่ปี 2020 ซึ่งก่อนหน้านี้ได้มุ่งเป้าหมายการโจมตีไปยัง อัฟกานิสถาน อาเซอร์ไบจาน อิหร่าน อิรัก ปากีสถาน และตุรกี ในด้านการโจมตีเป้าหมาย GoldenJackal จะใช้ malware stealer เพื่อขโมยข้อมูล และสามารถแพร่กระจายผ่านทาง removable drive รวมทั้งหลบหลีกการตรวจจับได้อีกด้วย
ทั้งนี้ Kaspersky ยังไม่สามารถระบุที่มาหรือความเกี่ยวข้องกับกับกลุ่ม Hacker อื่น ๆ ได้ แต่จากการสังเกตพบว่า กลวิธีในการโจมตีของกลุ่ม GoldenJackal มีความคล้ายคลึงกับ Turla ซึ่งเป็นหนึ่งในกลุ่ม Hacker ของรัสเซีย
โดยพบว่าการโจมตีเริ่มต้นจากการใช้โปรแกรมติดตั้ง Skype ที่มีการฝังโทรจันเอาไว้ และเอกสาร Microsoft Word ที่เป็นอันตราย ที่ใช้ .NET ในชื่อ JackalControl เพื่อโจมตีผ่านช่องโหว่ Follina (CVE -2022-30190) เพื่อติดตั้งมัลแวร์ หลังจากนั้นก็จะทำการเรียกใช้คำสั่งจากภายนอก รวมไปถึงเรียกใช้เพย์โหลดเพื่อดาวน์โหลดมัลแวร์ตัวอื่น ๆ ในการโจมตีเป้าหมายต่อไป
ตระกูลมัลแวร์อื่น ๆ ที่ GoldenJackal ใช้งานมีดังนี้:
JackalSteal - เพื่อค้นหาไฟล์ที่น่าสนใจ รวมถึงไฟล์ที่อยู่ในไดรฟ์ removable USB แล้วส่งไปยังเซิร์ฟเวอร์ภายนอก
JackalWorm - ถูกใช้เพื่อแพร่กระจายในระบบโดยใช้ไดรฟ์ removable USB และติดตั้งโทรจัน JackalControl
JackalPerInfo – มัลแวร์ที่มีคุณสมบัติในการขโมยข้อมูลในระบบ เนื้อหาโฟลเดอร์ แอปพลิเคชันที่ติดตั้ง process ที่ทำงาน และข้อมูลประจำตัวที่จัดเก็บไว้ในฐานข้อมูล web browser
JackalScreenWatcher - utility สำหรับบันทึกภาพหน้าจอตามช่วงเวลาที่ตั้งไว้ และส่งไปยัง command-and-control (C2 ) Server ของ Hacker
นอกจากนี้ยังพบว่า Hacker ได้ใช้เว็บไซต์ WordPress ที่ถูกโจมตี และควบคุมมาใช้เป็น relay เพื่อส่งต่อ request ไปยัง C2 Server ของ Hacker โดยใช้ไฟล์ PHP ที่เป็นอันตรายแทรกไปในเว็บไซต์ รวมไปถึงการพยายามจำกัดกลุ่มเป้าหมาย เพื่อลดการถูกตรวจพบการโจมตี
ที่มา : thehackernews
You must be logged in to post a comment.