GoldenJackal 威胁指标(IOC)调查报告

Oct 17, 2024

日期: 2024 年 10 月 16 日

执行摘要

本报告对 GoldenJackal 威胁行为者进行了全面分析,重点关注其近期活动、工具、基础设施以及相关的威胁指标(IOC)。基于 ESET 在 WeLiveSecurity 上发布的最新研究数据,本文件旨在为网络安全专业人员提供识别、预防和缓解 GoldenJackal 威胁的必要见解。分析内容涵盖组织画像、事件细节、与 MITRE ATT&CK 框架对应的技战术(TTPs),以及针对恶意软件样本和网络指标的技术深度分析。

简介

GoldenJackal 是一个复杂的威胁行为者,主要针对政府部门等高价值目标,尤其是针对物理隔离(air-gapped)系统。其操作涉及多套工具,旨在突破隔离网络、规避安全措施并保持持久访问。本报告整合了现有的 IOC 和技术数据,提供了对 GoldenJackal 方法论和基础设施的详细理解。

组织分析

威胁行为者概况:GoldenJackal

  • 动机: 主要以间谍活动为目标,针对政府和高价值部门,窃取敏感信息。
  • 能力: 擅长突破物理隔离,利用自定义恶意软件和存在漏洞的合法工具进行渗透和持久控制。
  • 操作范围: 全球范围,特别是在其命令与控制(C&C)基础设施的托管提供商所在区域有显著活动。

历史活动

GoldenJackal 自 2019 年 8 月以来活跃,使用合法软件伪装为恶意工具以及完全自定义开发的恶意软件。他们的操作展示了高度的复杂性,包括利用失陷的网站进行 C&C 和恶意软件分发。

事件分析

概述

GoldenJackal 近期针对欧洲政府机构的气隙隔离系统展开了复杂的攻击行动。该攻击利用自定义恶意软件,成功突破了物理隔离的防护,导致敏感数据泄露。攻击者利用存在漏洞的合法软件和 C&C 基础设施,在气隙环境中进行恶意活动。

事件时间线

  • 2019 年 8 月 9 日: 首次观测到主要和次要 C&C 服务器(83.24.9.124196.29.32.210)开始运作。
  • 2019 年 9 月 25 日: 发现多个失陷的网站(assistance.uzthehistore.comxgraphic.ro)用于恶意软件下载和 C&C 服务器。
  • 2024 年: 欧洲某政府机构的气隙隔离系统被 GoldenJackal 成功攻击,导致敏感数据被窃取。攻击者通过 USB 设备和自定义恶意软件在隔离环境中传播恶意载荷,利用合法的更新程序掩盖其恶意活动。

影响

此次攻击的潜在影响包括未经授权的数据访问、系统被攻陷以及物理隔离网络安全性的削弱。受影响的政府机构面临信息泄露和国家安全威胁的风险。

技战术(TTPs)

GoldenJackal 的操作可以映射到 MITRE ATT&CK 框架,如下所示:

Tactic
ID
Name
Description
初始访问
T1583.003
获取基础设施:虚拟专用服务器
GoldenJackal 可能获取了一个 VPS 服务器,用作 GoldenDealer 恶意软件的次要 C&C 服务器。
初始访问
T1583.004
获取基础设施:服务器
GoldenJackal 可能获取了一个服务器,用作 GoldenDealer 恶意软件的主要 C&C 服务器。
资源开发
T1584.006
破坏基础设施:Web 服务
GoldenJackal 使用了被破坏的 WordPress 网站作为 C&C 基础设施,这些网站被 JackalControl 和 JackalSteal 恶意软件使用。
资源开发
T1587.001
开发能力:恶意软件
GoldenJackal 开发自己的定制恶意软件。
资源开发
T1585.003
建立账户:云账户
GoldenJackal 使用了 Google Drive 来存储被窃取的文件和合法工具。
资源开发
T1588.002
获取能力:工具
GoldenJackal 使用合法的工具,如 Plink 和 PsExec,进行后期的妥协操作。
执行
T1059.001
命令和脚本解释器:PowerShell
GoldenJackal 执行 PowerShell 脚本以下载 GoldenDealer 恶意软件。
执行
T1059.003
命令和脚本解释器:Windows 命令壳
GoldenAce 使用 cmd.exe 运行批处理脚本以执行其他恶意组件。
执行
T1059.006
命令和脚本解释器:Python
GoldenHowl 包含多个恶意模块,这些模块是 Python 脚本。
执行
T1106
原生 API
GoldenDealer 可以使用 CreateProcessW API 复制和运行可执行文件。
持久性
T1569.002
系统服务:服务执行
GoldenDealer 可以作为服务运行。
持久性
T1204.002
用户执行:恶意文件
JackalWorm 使用文件夹图标诱使潜在受害者启动它。
持久性
T1543.003
创建或修改系统过程:Windows 服务
GoldenDealer 创建服务 NetDnsActivatorSharing 以在失陷的系统上持久存在。
持久性
T1547.001
启动或登录自动执行:注册表运行键/启动文件夹
如果 GoldenDealer 无法创建服务以持久存在,则会在运行注册表键中创建条目。
持久性
T1053.005
计划任务/作业:计划任务
GoldenHowl 创建计划任务 Microsoft\Windows\Multimedia\SystemSoundsService2 以保持其在受感染系统上的持久性。

主要技战术

初始访问

  • 利用社会工程学: 通过伪造的软件安装程序和恶意文档诱导目标执行,以此作为初始入侵的手段。
  • 漏洞利用: 利用已知漏洞(如 Follina 漏洞)通过恶意文档进行攻击,快速获取初始访问权限。

执行

  • 使用木马化工具: 部署如 JackalControl 等远程控制木马,执行任意命令,包括文件操作和系统控制。
  • 脚本解释器: 利用 PowerShell 和 Python 脚本执行恶意操作,如横向移动和数据收集。

持久性

  • 创建服务和计划任务: 通过创建 Windows 服务和计划任务确保恶意软件的持久存在。
  • 修改注册表: 在注册表中创建或修改条目,以实现自启动或其他持久化机制。

命令与控制(C2)

  • 自定义 C2 协议: 使用自定义的 C2 通信协议,如 GoldenHowl 中的 transport_http,以隐藏其通信行为。
  • 加密通信: 通过加密技术保护 C2 通信,避免被网络监控和安全设备检测。

数据收集

  • 系统信息收集: 使用 JackalPerInfo 等工具收集系统信息,包括配置和用户数据。
  • 浏览器数据窃取: 针对浏览器存储的凭据和 Cookie 进行窃取,以获取用户身份验证信息。

数据外泄

  • USB 驱动器滥用: 通过 JackalSteal 等工具监控 USB 驱动器,收集并外传敏感文件。
  • 电子邮件外传: 使用 GoldenMailer 等工具通过电子邮件将窃取的数据发送到攻击者控制的邮箱。

防御绕过

  • 隐藏文件和目录: 修改系统设置以隐藏其创建的文件和目录,避免被用户和安全工具发现。
  • 自定义图标和伪装: 使用文件夹图标伪装恶意文件,诱使受害者执行。

横向移动

  • 内部网络扫描: 使用如 JackalWorm 等工具在内部网络中寻找更多目标,进行横向移动。
  • 利用合法工具: 使用如 PsExec 等合法远程管理工具进行网络内的横向移动。

技术细节与分析

GoldenDealer 详细分析行为和能力:

  • 监控 USB 插入:GoldenDealer 监控可移动驱动器的插入,无论是在隔离的还是连接互联网的电脑上。
  • 下载和执行:基于网络连接状态,它可以从 C&C 服务器下载可执行文件,并将其隐藏在可移动驱动器上,或从驱动器上检索并在未连接网络的系统上执行它们。
  • 无窗口执行:如果以参数形式运行,GoldenDealer 将移动文件到新位置,并通过 CreateProcessW API 执行它,整个过程不会打开新窗口。
  • 隐藏文件:为了防止隐藏文件在 Windows 资源管理器中显示,它会在注册表中创建 ShowSuperHidden 值并将其设置为零。
  • 服务创建:如果 GoldenDealer 没有作为服务运行,它会尝试创建并启动名为 NetDnsActivatorSharing 的服务。如果服务创建失败,它会通过在运行注册表项中创建条目来保持持续性。
  • 配置文件:使用多个配置文件存储状态信息、可执行文件和网络中受害 PC 的信息,这些文件以 JSON 格式存储并经过 XOR 加密。
  • 网络连接检测:每 15 分钟向 https://1.1.1.1/<user_id> 发送 GET 请求,以检测 PC 是否连接到互联网。如果连接失败或无响应,则假定 PC 处于离线状态。
  • 下载器线程:每 30 分钟检查一次网络连接状态,如果 PC 连接到互联网,它会从 C&C 服务器下载可执行文件。
  • USB 监控线程:在连接的 PC 上,监控 USB 驱动器的插入,并在驱动器上创建隐藏目录,存储可执行文件和有关隔离 PC 的信息。在隔离的 PC 上,执行相反的操作。GoldenDealer 是 GoldenJackal 工具集中的关键组件,负责在目标网络中部署和执行其他恶意工具。它通过 USB 驱动器和网络连接状态灵活地在隔离和非隔离环境中操作,显示了其高度适应性和复杂性。

GoldenHowl 详细分析行为和能力:

  • 模块化后门:GoldenHowl 是一个用 Python 编写的模块化后门,由多个模块组成,这些模块为恶意功能提供支持。
  • 自解压归档:它以自解压归档的形式分发,包含合法的 Python 二进制文件和库,以及恶意脚本。
  • 配置和模块加载:GoldenHowl 的初始脚本(称为 core_script)负责解密并加载恶意软件的配置,创建恶意软件使用的目录,并为每个模块启动一个线程。
  • Fernet 加密:配置使用 Fernet 算法进行加密,使用硬编码的密钥进行解密。
  • 持久性:通过创建计划任务 Microsoft\Windows\Multimedia\SystemSoundsService2 来保持其在受感染系统上的持久性。
  • 文件和信息收集:包含用于生成文件和目录列表、窃取文件、数据转换、与 C&C 服务器通信以及更新自身模块的模块。
  • 多用途模块:GoldenHowl 拥有多个模块,每个模块都有特定的功能,例如:
  • persistence_schtasks:创建计划任务以保持核心脚本的执行。
  • files_tree:生成指定路径的文件和目录列表。
  • files_stealer:将单个文件渗透到 C&C 服务器。
  • data_transform:作为实用程序模块,负责解密来自 C&C 服务器的请求和加密发往 C&C 的响应。
  • transport_http:负责与 C&C 服务器的通信。
  • updater:接收包含更新模块或配置的 ZIP 归档,提取归档,并在新进程中运行核心脚本。
  • sshcmd:连接到 C&C 指定的 SSH 服务器,并作为反向外壳执行从 C&C 接收的命令。
  • ipscannerportscanner:分别用于生成活动 IP 地址列表和接受连接的端口列表。
  • sshtunnel:创建 SSH 隧道以转发消息。
  • eternalbluechecker:检查主机是否易受 Windows SMB 远程代码执行漏洞的影响。
  • socks_proxy:作为代理服务器,转发数据包。
  • text_writer:在指定路径写入文本文件。GoldenHowl 展示了 GoldenJackal 为了在目标网络中建立持久性并进行间谍活动而开发的复杂性和灵活性。通过其多样化的模块,GoldenHowl 能够执行广泛的恶意活动,包括数据收集、渗透和命令执行。

GoldenRobo 详细分析行为和能力:

  • 文件收集器和渗透器:GoldenRobo 是一个用 Go 语言编写的恶意组件,它执行文件收集和数据渗透的功能。
  • Robocopy 命令执行:GoldenRobo 利用 Windows 的 Robocopy 命令行工具来复制文件。它会迭代访问从 A 到 Z 的所有驱动器字母,尝试访问每个驱动器上的文件。
  • 文件过滤:GoldenRobo 被配置为寻找具有特定扩展名的文件,如 .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pdf, .rtf, .tif, .jpg, .jpeg, .crt, .key, .p12, .ovpn, .zip, 和 .rar
  • 文件复制:对于成功访问的驱动器,GoldenRobo 会构造一个 Robocopy 命令来复制文件到指定的文件夹中。
  • 归档和渗透:复制的文件将被打包成一个 ZIP 文件,并以 base64 编码的方式发送到 C&C 服务器。这个 ZIP 文件的命名包含了日期信息,格式为 _1423-da77-fe86<month>-<day>,其中 <month><day> 对应当前日期。
  • 针对性编译:GoldenRobo 的 URL 和一些配置是硬编码的,表明这个版本是为特定的受害者编译的。GoldenRobo 的设计和实现显示了 GoldenJackal 为了从目标网络中提取和渗透数据而采取的有目的的方法。通过使用系统工具(如 Robocopy)和硬编码的配置,GoldenRobo 能够高效地收集和渗透敏感文件。

GoldenUsbCopy 详细分析行为和能力:

  • USB 驱动器监控:GoldenUsbCopy 监控插入电脑的 USB 驱动器,并且能够识别新插入的驱动器。
  • 文件复制:它复制感兴趣的文件到一个加密的容器中,这个容器存储在硬盘上,等待被其他组件进一步渗透。
  • 配置文件:GoldenUsbCopy 使用一个 AES 加密的配置文件 reports.ini,其中包含了决定处理哪些文件的标准。
  • 加密存储:复制的文件首先被写入一个文本文件,然后被压缩、加密,并添加到加密容器 outputCipherFilename 中。
  • 文件选择:根据配置文件中的准则选择要处理的 USB 驱动器上的文件,包括文件类型、修改日期和文件大小。
  • 避免重复渗透:通过在注册表中存储已经处理过的文件的 SHA-256 散列值来避免重复渗透相同的文件。
  • 最大存档大小:配置文件中还定义了输出加密文件的最大大小 maxZIPSize,防止单个加密容器超过此大小。
  • 加密方法:每个添加到加密容器中的归档文件都使用 AES 算法以 CFB 模式加密,使用随机生成的密钥和初始化向量(IV)。GoldenUsbCopy 组件的设计重点在于从 USB 驱动器上收集文件,并将它们安全地存储以备后续渗透。它通过加密存储和避免重复渗透的机制,展示了 GoldenJackal 在维持其隐蔽性和效率方面的专业能力。

GoldenUsbGo 详细分析行为和能力:

  • USB 驱动器监控:GoldenUsbGo 与 GoldenUsbCopy 类似,但它不持续监控 USB 驱动器的插入。相反,它定期检查一个硬编码的驱动器字母列表,看它们是否有分配的卷。
  • 文件选择:GoldenUsbGo 在选择要处理的文件时使用硬编码的标准。它会检查文件名是否包含特定词汇(如“pass”、“login”、“key”等),如果是,则无论其他标准如何都会处理该文件。否则,它还会检查文件大小(不超过 20MB)、最后修改日期(不超过 14 天前)和文件扩展名(如.pdf, .doc, .docx, .sh, 或 .bat)。
  • 存储和加密:与 GoldenUsbCopy 不同,GoldenUsbGo 不使用配置文件。它将文件压缩而不是归档,并使用 gzip 算法压缩文件内容和文件名。压缩后的数据将被 AES 算法以 CFB 模式加密。
  • 加密容器:GoldenUsbGo 使用一个硬编码的路径来存储加密容器 SquirrelCache.dat,该容器用于存储要渗透的文件。
  • 文件列表生成:GoldenUsbGo 还会生成一个包含插入驱动器上所有文件的列表,并将这个列表添加到加密容器中,类似于处理要渗透的文件的方式。
  • 时间戳文件名:生成的文件列表的文件名由当前日期和时间构成,格式为 15 Jan 24 13-21 PST,其中冒号被替换为破折号。GoldenUsbGo 组件是 GoldenJackal 工具集中的一个简化版本,专注于从 USB 驱动器收集文件,并通过加密容器进行存储,以便后续的渗透操作。它的设计表明了 GoldenJackal 在适应不同攻击场景和目标时的灵活性。

GoldenAce 详细分析行为和能力:

  • USB 驱动器监控与利用:GoldenAce 组件监控一系列硬编码的 USB 驱动器字母,寻找已映射到卷的驱动器。它与轻量级的 JackalWorm 组件和其他未知组件协同工作。
  • 传播恶意软件:GoldenAce 会在检测到的 USB 驱动器上创建或修改目录和文件,以传播其他恶意可执行文件。它会在驱动器的根目录下创建一个隐藏的“trash”目录,并将一个名为“update”的文件复制到该目录中。
  • 隐藏和伪装:它会将驱动器上第一个非隐藏目录设置为隐藏,并将一个名为“upgrade”的文件(实际上是 JackalWorm)复制到驱动器的根目录,并将其重命名为 <name_of_hidden_directory>.exe
  • 自动执行:当“upgrade”文件(JackalWorm)在可移动驱动器的根目录下执行时,它会打开 Windows 资源管理器中的隐藏文件夹,并写入一个批处理文件来执行“update”文件中的有效负载。
  • 自我删除:执行完毕后,“update”文件和批处理文件都会被删除,以减少被检测的机会。
  • 文件收集:虽然我们没有观察到“update”组件的具体内容,但它很可能负责收集文件,并将它们在可移动驱动器上的“trash”目录中进行阶段性存储,因为该目录的路径被作为参数传递给“update”。GoldenAce 组件展示了 GoldenJackal 在通过 USB 驱动器传播恶意软件和收集文件方面的策略。通过创建隐藏目录和伪装文件,GoldenAce 能够在受害者不知情的情况下在网络中移动和执行恶意活动。

GoldenBlacklist 详细分析行为和能力:

  • 加密归档处理:GoldenBlacklist 组件负责下载一个加密的归档文件,这个归档文件通常包含电子邮件消息。
  • 硬编码 URL:它使用硬编码的 URL https://<local_ip_address>/update46.zip 来检索初始归档。
  • AES 解密:下载的归档文件使用硬编码的 AES 密钥进行解密。
  • 过滤和归档:GoldenBlacklist 在内存中提取归档,并根据特定标准过滤文件,只保留那些符合攻击者标准的电子邮件消息。
  • 过滤标准:
  • 排除来自黑名单电子邮件地址的邮件。
  • 保留包含字符串 Content-Type: application 的文件,这通常意味着邮件带有附件。
  • 二次加密:过滤后的文件被写入一个临时目录,然后被重新归档和加密,以创建一个新的归档文件 archive.out 用于渗透。
  • 清理操作:在处理完毕后,GoldenBlacklist 会删除所有中间文件和文件夹,以及用于解密和归档的 OpenSSL 可执行文件和库,以隐藏其活动痕迹。GoldenBlacklist 组件的功能是处理和筛选大量数据,特别是电子邮件,以识别和保留对攻击者有价值的信息。它的操作包括下载、解密、过滤和重新加密,展示了 GoldenJackal 在数据筛选和隐蔽通信方面的复杂能力。

GoldenPyBlacklist 详细分析行为和能力:

  • Python 实现:GoldenPyBlacklist 是 GoldenBlacklist 的 Python 实现版本,它与 GoldenBlacklist 执行相似的任务,但是有一些关键的区别。
  • 归档文件处理:它同样处理加密的归档文件,但是将解密后的归档保存在 C:\Windows\System32\temp 目录下。
  • 文件选择标准:除了与 GoldenBlacklist 相同的过滤标准外,GoldenPyBlacklist 还增加了一个额外的标准,即只处理以 .msg 结尾的文件名,这些文件是使用 Microsoft Outlook 创建的。
  • 文件删除:GoldenPyBlacklist 会在处理后删除不符合标准的文件。
  • 归档和加密:最终的归档文件使用 7-Zip 归档器创建,并且使用与初始归档相同的密钥进行加密。
  • 文件命名:最终的加密文件被命名为 ArcSrvcUI.ter
  • 独立组件:GoldenPyBlacklist 被打包为一个独立的可执行文件,这表明它可以在没有其他组件辅助的情况下运行。GoldenPyBlacklist 组件进一步展示了 GoldenJackal 如何利用不同的编程语言和工具来执行类似的任务,这可能有助于它们在不同的环境中灵活适应和逃避检测。

GoldenMailer 详细分析行为和能力:

  • 邮件渗透:GoldenMailer 是一个被归类为渗透组件的工具,它通过发送带有附件的电子邮件来渗透文件。
  • Python 编写:这个组件是用 Python 编写的,并且使用 PyInstaller 打包,使其成为一个独立的可执行文件。
  • SMTP 通信:GoldenMailer 连接到合法的 SMTP 服务器(如 smtp-mail.outlook.com 或 smtp.office365.com),使用端口 587 发送电子邮件。
  • 配置文件:它从一个配置文件 cversions.ini 中读取必要的信息,该文件位于 GoldenMailer 运行的同一目录下。
  • 配置信息:配置文件包含以下内容:
  • 用于向 SMTP 服务器进行身份验证的电子邮件地址,也用作发件人和收件人地址。
  • 用于向 SMTP 服务器进行身份验证的密码。
  • 包含要渗透的归档文件的目录路径。
  • 用于渗透的归档文件的基础文件名(例如,press.pdf)。
  • 要渗透的文件数量。
  • 邮件内容:GoldenMailer 会发送带有硬编码主题和正文的电子邮件,主题可能包含拼写错误,例如 "Press realese",正文内容可能很简单,如 "Daily News about Israel-Hamas war"。
  • 附件发送:每次电子邮件只发送一个归档文件作为附件。如果有多个归档文件需要渗透,GoldenMailer 会为每个文件发送一封电子邮件。GoldenMailer 组件展示了 GoldenJackal 如何利用电子邮件作为数据渗透的手段,通过合法的 SMTP 服务器发送看似正常的电子邮件来隐藏其恶意行为。

补充工具集(卡巴斯基)

JackalControl 工具分析报告基本信息:

  • 名称: JackalControl
  • 类型: 远程控制木马(RAT)
  • 功能: 远程控制受感染的机器,执行攻击者指令,包括文件下载、上传和程序执行。行为分析:
  1. 持久性机制:
  • 创建 Windows 服务:NetDnsActivatorSharing,用于保持在受感染系统上的持久存在。
  • 创建注册表项:在HKCU\Software\Microsoft\Windows\CurrentVersion\Run下创建条目以实现自启动。
  1. 通信机制:
  • 使用 HTTPS 协议与 C2 服务器通信。
  • 通过 HTTP POST 请求发送数据,数据以编码形式包含在请求体中。
  1. 命令执行:
  • 支持执行任意程序,并能够上传和下载文件。
  • 根据接收到的命令执行相应操作,包括但不限于:     - 执行程序:Command Type 00     - 文件上传:Command Type 01     - 文件下载:Command Type 02
  1. 数据加密:
  • 使用 DES 算法加密与 C2 服务器的通信数据。
  • 使用 MD5 算法生成 BOT_ID,作为受感染系统的唯一标识。
  1. 信息收集:
  • 收集系统信息,包括计算机名、操作系统版本、域、用户信息等。
  • 枚举网络接口、逻辑驱动器、正在运行的进程和安装的应用程序。指标(IoCs):
  • MD5 Hash:
  • 5ed498f9ad6e74442b9b6fe289d9feb3
  • a5ad15a9115a60f15b7796bc717a471d
  • c6e5c8bd7c066008178bc1fb19437763
  • 4f041937da7748ebf6d0bbc44f1373c9
  • eab4f3a69b2d30b16df3d780d689794c
  • 8c1070f188ae87fba1148a3d791f2523
    C2 服务器域名:
  • abert-online.de
  • acehigh.host
  • assistance.uz
  • cnom.sante.gov.ml
  • info.merysof.am
  • invest.zyrardow.pl
  • weblines.gr
  • finasteridehair.com总结:JackalControl 是一个高级的远程控制木马,它通过复杂的通信机制和加密算法保护其命令和控制通道。该工具能够执行广泛的恶意活动,包括数据窃取和系统控制,对目标组织构成严重威胁。

JackalSteal 工具分析报告基本信息:

  • 名称: JackalSteal
  • 类型: 文件收集器和外传工具
  • 功能: 搜索、收集并外传目标系统上的特定文件。行为分析:
  1. 监控 USB 驱动器:
  • 监控插入的 USB 驱动器,并对驱动器上的文件进行筛选,寻找符合特定模式的文件进行窃取。
  1. 文件筛选:
  • 根据配置文件中的规则,筛选出符合条件的文件,如特定扩展名的文档、图片或其他重要数据文件。
  1. 文件外传:
  • 将筛选出的文件通过加密的方式发送到 C2 服务器,使用 AES 算法进行加密,并可能利用硬编码的 C2 服务器地址进行通信。
  1. 持久性机制:
  • 可能通过其他组件(如 JackalControl)安装和启动,自身不具备持久性机制。
  1. 信息收集:
  • 收集 USB 驱动器上的文件信息,包括文件名、大小、最后修改时间等。指标(IoCs):
  • MD5 Hash:
  • c05999b9390a3d8f4086f6074a592bc2
  • C2 服务器域名:
  • tahaherbal.ir总结:JackalSteal 是一个专为数据窃取设计的恶意工具,它通过监控 USB 驱动器和网络共享来收集敏感文件,并将这些文件外传到攻击者的 C2 服务器。该工具通常与其他恶意软件(如 JackalControl)配合使用,以实现数据的收集和外传。JackalSteal 的设计表明 GoldenJackal APT 组织在针对特定目标时,会使用专门的工具来实现其情报收集的目的。这种工具的选择和使用进一步证明了该组织在网络间谍活动中的专业性和针对性。

JackalWorm 工具分析报告基本信息:

  • 名称: JackalWorm
  • 类型: 蠕虫病毒,用于自我复制和传播恶意软件。
  • 功能: 通过可移动存储介质(如 USB 驱动器)在计算机间传播恶意软件。行为分析:
  1. 自我复制:
  • JackalWorm 会复制自身到连接的 USB 驱动器,并尝试感染其他计算机。
  1. 隐藏行为:
  • 该蠕虫会隐藏其复制的文件,使其看起来像是合法的目录或文件,以欺骗用户执行。
  1. 启动策略:
  • 当 USB 驱动器连接到新的计算机时,JackalWorm 会尝试自动执行。
  1. 传播机制:
  • 利用 Windows 的自动播放功能,或者通过社会工程手段诱使用户点击执行。
  1. 持久性:
  • 通过创建计划任务或修改系统设置,确保即使在重启后也能继续存在。
    指标(IoCs):
  • MD5 Hash:
  • 5de309466b2163958c2e12c7b02d8384总结:JackalWorm 是 GoldenJackal APT 组织使用的一种蠕虫工具,主要用于在目标网络内部通过可移动存储介质传播恶意软件。该工具通过伪装成合法文件或目录,利用用户的信任执行,进一步扩大感染范围。JackalWorm 的存在表明 GoldenJackal 在传播机制上采取了多样化的策略,以确保其恶意软件能够在目标环境中广泛传播。

JackalPerInfo 工具分析报告基本信息:

  • 名称: JackalPerInfo
  • 类型: 信息收集工具
  • 功能: 收集受感染系统的个人信息和敏感数据。
    行为分析:
  1. 系统信息收集:
  • 收集包括计算机名称、操作系统版本、域名、当前用户、本地时间、网络接口信息、驱动器信息等在内的系统信息。
  1. 文件枚举:
  • 枚举系统上的所有逻辑驱动器,并收集每个驱动器根目录下的文件列表。
  1. 用户目录检查:
  • 检查系统驱动器中用户目录下特定的文件夹,如桌面、文档、下载等,以及应用程序数据中的浏览器相关数据。
  1. 敏感文件查找:
  • 在用户目录和浏览器数据中搜索可能包含敏感信息的文件,如文本文件、浏览器缓存和 Cookie。
  1. 数据外传:
  • 将收集到的信息和文件压缩并加密,通过 C2 服务器外传至攻击者控制的服务器。
    指标(IoCs):MD5 Hash:
  • a491aefb659d2952002ef20ae98d7465总结:JackalPerInfo 是一个专为收集用户个人信息和敏感数据而设计的工具。它通过详细收集系统信息、文件数据和用户数据,为 GoldenJackal APT 组织提供了目标网络中的敏感信息。该工具的行为表明,攻击者不仅关注于窃取机密文件,还试图通过收集个人用户数据来获取额外的情报或用于其他恶意目的。

JackalScreenWatcher 工具分析报告
基本信息:

  • 名称: JackalScreenWatcher
  • 类型: 屏幕监控工具
  • 功能: 定期捕获受感染系统的屏幕截图,并将其发送给攻击者。
    行为分析:
  1. 屏幕捕获:
  • 该工具定期截取用户桌面的屏幕截图,可以根据配置设置截图的时间间隔和分辨率。
  1. 用户活动监测:
  • 通过监控鼠标光标的移动来检测用户活动,当检测到用户活动时,工具会触发截图。
  1. 数据隐藏传输:
  • 截图数据首先被压缩和加密,然后通过 HTTPS POST 请求发送到 C2 服务器,确保数据在传输过程中的隐蔽性和安全性。
  1. 配置灵活性:
  • 攻击者可以通过命令行参数自定义截图的分辨率、截图间隔以及特定的用户代理 ID。
  1. 自删除机制:
  • 在某些情况下,JackalScreenWatcher 在执行其任务后,会尝试删除自身,以减少在受感染系统上留下的痕迹。
    指标(IoCs):
  • MD5 Hash:
  • 1072bfeee89e369a9355819ffa39ad20
  • C2 服务器域名:
  • tahaherbal.ir总结:JackalScreenWatcher 是一个隐蔽的屏幕监控工具,它使 GoldenJackal APT 组织能够实时监控目标系统用户的活动。通过定期捕获屏幕截图,攻击者可以获取敏感信息,了解目标用户的行为模式,甚至用于后续的社交工程攻击。该工具的设计强调了隐蔽性和数据保护,使其成为一个难以检测的威胁。

恶意软件分析

GoldenJackal 使用一套恶意软件工具,每个工具在其操作中扮演不同角色:

  1. GoldenDealer
  2. 文件: winaero.exe
  3. 哈希: DA9562F5268FA61D19648DFF9C6A57FB8AB7B0D7
  4. 检测: Win32/Agent.AGKQ
  5. 描述: 可能是用于初步系统妥协的主要载荷。
  6. GoldenHowl
  7. 文件: OfficeAutoComplete.exe
  8. 哈希: 6DE7894F1971FDC1DF8C4E4C2EDCC4F4489353B6
  9. 检测: WinGo/Agent.AAO
  10. 描述: 可能用于数据外泄或网络内横向移动的工具。
  11. GoldenRobo
  12. 文件: prinntfy.dll
  13. 哈希: 7CB7C3E98CAB2226F48BA956D3BE79C52AB62140
  14. 检测: WinGo/DataStealer.A
  15. 描述: 可能用于数据窃取操作的 DLL。
  16. GoldenUsbCopy
  17. 文件: zUpdater.exe
  18. 哈希: 8F722EB29221C6EAEA9A96971D7FB78DAB2AD923
  19. 检测: WinGo/Spy.Agent.AH
  20. 描述: 用于将数据复制到 USB 设备,关键于物理隔离环境。
  21. GoldenUsbGo
  22. 文件: fc.exe
  23. 哈希: 24FBCEC23E8B4B40FEA188132B0E4A90C65E3FFB
  24. 检测: WinGo/DataStealer.C
  25. 描述: 另一个专注于 USB 数据窃取的工具。
  26. GoldenAce
  27. 文件: upgrade
  28. 哈希: A87CEB21EF88350707F278063D7701BDE0F8B6B7
  29. 检测: MSIL/Agent.WPJ
  30. 描述: 基于.NET 的恶意软件,用于升级或修补其他恶意软件组件。
  31. JackalWorm
  32. 文件: fp.exe
  33. 哈希: 9CBE8F7079DA75D738302D7DB7E97A92C4DE5B71
  34. 检测: WinGo/Spy.Agent.CA
  35. 描述: 简化版蠕虫,用于在网络内传播。
  36. GoldenBlacklist
  37. 文件: fp.exe
  38. 哈希: 9083431A738F031AC6E33F0E9133B3080F641D90
  39. 检测: Python/TrojanDownloader.Agent.YO
  40. 描述: 基于 Python 的下载器,用于获取额外的恶意载荷。
  41. GoldenPyBlacklist
  42. 文件: cb.exe
  43. 哈希: C830EFD843A233C170285B4844C5960BA8381979
  44. 检测: Python/Agent.ALE
  45. 描述: 另一个基于 Python 的恶意软件,用于维持访问权限。
  46. GoldenMailer
  47. 文件: GoogleUpdate.exe
  48. 哈希: F7192914E00DD0CE31DF0911C073F522967C6A97
  49. 检测: WinGo/Agent.YH
  50. 描述: 利用合法的 Google Update 可执行文件掩盖恶意活动。
  51. GoldenDrive
  52. 文件: fp.exe
  53. 哈希: B2BAA5898505B32DF7FE0A7209FC0A8673726509
  54. 检测: Python/Agent.ALF, Python HTTP server
  55. 描述: 基于 Python 的代理,用于驱动相关操作,可能涉及数据存储或进一步利用。

网络指标分析

GoldenJackal 的 C&C 基础设施通过多个 IP 地址和域名识别:

  • 主要 C&C 服务器:
  • IP: 83.24.9.124
  • 托管提供商: OPL - Hostmaster, ORG-PT1-RIPE
  • 首次观测: 2019 年 8 月 9 日
  • 详情: 作为 GoldenJackal 操作的主要控制节点。
  • 次要 C&C 服务器:
  • IP: 196.29.32.210
  • 所有者: Charles Mashamba
  • 首次观测: 2019 年 8 月 9 日
  • 详情: 作为备用控制服务器,确保操作的持续性。
  • 失陷的网站:
  • assistance.uz
  • 首次观测: 2019 年 9 月 25 日
  • 角色: 恶意软件下载分发点。
  • thehistore.com
  • 首次观测: 2019 年 9 月 25 日
  • 角色: 作为 C&C 服务器的失陷网站。
  • xgraphic.ro
  • 首次观测: 2019 年 9 月 25 日
  • 角色: 额外的 C&C 服务器。

检测与缓解

  • 恶意软件签名: 利用提供的 SHA-1 哈希值识别和隔离恶意文件。
  • 网络阻断: 实施防火墙规则,阻断已知的 C&C IP 和域名。
  • 端点保护: 部署先进的端点检测与响应(EDR)解决方案,监控与 GoldenJackal 工具相关的行为。
  • 入侵检测系统(IDS)与入侵防御系统(IPS): 配置规则以检测和阻止 GoldenJackal 的通信模式。
  • 威胁情报共享: 与其他组织共享 GoldenJackal 的 IOC,增强整体防御能力。

威胁指标(IOCs)

文件型 IOC

SHA-1
文件名
检测名称
描述
DA9562F5268FA61D19648DFF9C6A57FB8AB7B0D7
winaero.exe
Win32/Agent.AGKQ
GoldenDealer
5F12FFD272AABC0D5D611D18812A196A6EA2FAA9
1102720677
Python/Agent.ANA, Python/HackTool.Agent.W, Python/Riskware.LdapDump.A, Python/Riskware.Impacket.C
GoldenHowl
6DE7894F1971FDC1DF8C4E4C2EDCC4F4489353B6
OfficeAutoComplete.exe
WinGo/Agent.AAO
GoldenRobo
7CB7C3E98CAB2226F48BA956D3BE79C52AB62140
prinntfy.dll
WinGo/DataStealer.A
GoldenRobo
8F722EB29221C6EAEA9A96971D7FB78DAB2AD923
zUpdater.exe
WinGo/Spy.Agent.AH
GoldenUsbCopy
24FBCEC23E8B4B40FEA188132B0E4A90C65E3FFB
fc.exe
WinGo/DataStealer.C
GoldenUsbGo
A87CEB21EF88350707F278063D7701BDE0F8B6B7
upgrade
MSIL/Agent.WPJ
GoldenAce
9CBE8F7079DA75D738302D7DB7E97A92C4DE5B71
fp.exe
WinGo/Spy.Agent.CA
JackalWorm
9083431A738F031AC6E33F0E9133B3080F641D90
fp.exe
Python/TrojanDownloader.Agent.YO
GoldenBlacklist
C830EFD843A233C170285B4844C5960BA8381979
cb.exe
Python/Agent.ALE
GoldenPyBlacklist
F7192914E00DD0CE31DF0911C073F522967C6A97
GoogleUpdate.exe
WinGo/Agent.YH
GoldenMailer
B2BAA5898505B32DF7FE0A7209FC0A8673726509
fp.exe
Python/Agent.ALF, Python HTTP server
GoldenDrive

网络型 IOC

IP 地址
域名
托管提供商
首次观测日期
详情
83.24.9.124
N/A
OPL - Hostmaster, ORG-PT1-RIPE
2019-08-09
主要 C&C 服务器
196.29.32.210
N/A
Charles Mashamba
2019-08-09
次要 C&C 服务器
N/A
assistance.uz
N/A
2019-09-25
失陷的网站,用于恶意软件下载
N/A
thehistore.com
N/A
2019-09-25
失陷的网站,作为 C&C 服务器
N/A
xgraphic.ro
N/A
2019-09-25
失陷的网站,作为 C&C 服务器

结论

GoldenJackal 对拥有物理隔离系统的组织,特别是政府和高价值部门,构成了显著威胁。他们复杂地使用多套恶意软件工具集,结合失陷的合法域名和 IP 作为 C&C,突显了对强大检测和预防机制的需求。提供的详细 IOC 为识别和缓解 GoldenJackal 策划的潜在入侵提供了关键见解。

建议

  1. 实施网络分段: 隔离关键系统,限制在发生入侵时的横向移动。
  2. 增强端点安全: 部署先进的端点检测与响应(EDR)解决方案,监控和响应可疑活动。
  3. 定期更新 IOC: 持续更新与 GoldenJackal 相关的最新 IOC,确保安全系统的有效性。
  4. 用户培训: 教育员工识别网络钓鱼和避免执行未知文件的重要性。
  5. 监控 C&C 通道: 阻断并监控已知的 C&C IP 和域名,防止与 GoldenJackal 的通信。
  6. 定期审计: 进行定期的安全评估,识别并修补可能被 GoldenJackal 利用的漏洞。
  7. 威胁情报共享: 与其他组织和安全机构共享 GoldenJackal 的 IOC 和相关信息,增强整体防御能力。

参考文献

  1. 安全客
  2. 信息安全杂志
  3. ESET 研究
  4. BleepingComputer
  5. CSO Online
  6. ESET GitHub