Así es GoldenJackal, un nuevo grupo dedicado a las Amenazas Avanzadas Persistentes (APT), descubierto por Kaspersky. El grupo, aunque ha estado operativo desde 2019, mantiene un perfil bajo al no ser públicamente reconocido.
El análisis realizado por la compañía, indica que GoldenJackal tiene como objetivo principal: gobiernos y entidades diplomáticas en la región de Oriente Medio y el sur de Asia. La investigación también revela que el grupo utilizó falsos instaladores de Skype y documentos de Word infectados en sus ataques.
“Es crucial que los equipos de seguridad cibernética estén atentos a cualquier posible ataque que pueda realizar este actor. Confiamos en que nuestro análisis ayude a prevenir la actividad de GoldenJackal”, explica Giampaolo Dedola, analista sénior de seguridad del Equipo de Análisis e Investigación Global (GReAT) de Kaspersky.
Así es GoldenJackal
El instalador de Skype era un archivo ejecutable que pesaba 400 MB. Contenía dos amenazas: el troyano JackalControl y un instalador independiente de Skype legítimo para empresas.
La primera vez que utilizaron esta herramienta fue en 2020. Otro vector de ataque era un documento malicioso de plantillas que se valía de la técnica de inyección remota de plantillas para descargar una página HTML maliciosa que se beneficiaba de la vulnerabilidad crítica ‘Follina’.
El documento se denominó ‘Galería de oficiales que han recibido premios nacionales y extranjeros.docx’ y se mostraba como si fuese legítimo. Solicita información sobre los oficiales condecorados por el gobierno de Pakistán. La primera descripción de la vulnerabilidad ‘Follina’ se publicó el 29 de mayo de 2022.
Kaspersky ha descubierto un nuevo grupo dedicado a las Amenazas Avanzadas Persistentes (APT) llamado GoldenJackal
Este documento parece haber sido modificado el 1 de junio, dos días después de la publicación. Se detectó por primera vez el 2 de junio. Estaba configurado para cargar un archivo malicioso desde una web legítima e incluía en su interior el troyano JackalControl.
JackalControl permite controlar la máquina en remoto a través de un conjunto de comandos predefinidos. Con el paso de los años, los atacantes han distribuido diferentes variantes de este malware. Algunos incluyen código que hace que sea persistente, mientras otros están configurados para ejecutarse sin infectar el sistema.
La segunda herramienta que usa el grupo GoldenJackal es JackalSteal. La usan para monitorizar unidades USB extraíbles, recursos compartidos remotos y las unidades lógicas en el sistema de destino. El malware funciona como un proceso estándar o como un servicio.
Recomendaciones de seguridad
Para evitar este tipo de ataques, Kaspersky recomienda.
- Proveer al equipo encargado del SOC de la última información de inteligencia de amenazas. En este sentido, Kaspersky Threat Intelligence recopila datos de ciberataques de los últimos 20 años
- Formar a los profesionales para que puedan defenderse de las últimas amenazas con Kaspersky Online Training, desarrollado por los profesionales de GReAT
- Para la detección, análisis y resolución oportuna de incidentes a nivel de endpoint es importante usar soluciones EDR como Kaspersky Endpoint Detection and Response. Adoptar una solución de seguridad corporativa que detecte amenazas avanzadas en etapa temprana, como Kaspersky Anti Targeted Attack Platform
- Muchos ataques comienzan con phishing y otras técnicas de ingeniería social. Es importante capacitar y concienciar a los equipos en seguridad informática y enseñarles de una forma práctica, a través de herramientas como Kaspersky Automated Security Awareness Platform
