കാസ്പെർസ്കി ഒരു പുതിയ സൈബർ ക്രൈം ഗ്രൂപ്പ് കണ്ടെത്തി. ഗോൾഡൻ ജാക്കൽ എന്ന് വിളിക്കപ്പെടുന്ന ഗ്രൂപ്പ് 2019 മുതൽ സജീവമാണ്, എന്നാൽ പൊതു പ്രൊഫൈൽ ഒന്നുമില്ല, ഇത് ഒരു നിഗൂഢതയായി തുടരുന്നു. ഗവേഷണത്തിൽ നിന്ന് ലഭിച്ച വിവരങ്ങൾ അനുസരിച്ച്, സംഘം പ്രധാനമായും ലക്ഷ്യമിടുന്നത് മിഡിൽ ഈസ്റ്റിലെയും ദക്ഷിണേഷ്യയിലെയും പൊതു, നയതന്ത്ര സ്ഥാപനങ്ങളെയാണ്.
2020-ന്റെ മധ്യത്തിൽ കാസ്പെർസ്കി ഗോൾഡൻജകലിനെ നിരീക്ഷിക്കാൻ തുടങ്ങി. ഈ ഗ്രൂപ്പ് വൈദഗ്ധ്യവും മിതമായ വസ്ത്രധാരണവുമുള്ള ഒരു ഭീഷണി നടനുമായി യോജിക്കുന്നു, ഒപ്പം പ്രവർത്തനത്തിന്റെ സ്ഥിരമായ ഒഴുക്ക് പ്രകടിപ്പിക്കുകയും ചെയ്യുന്നു. കമ്പ്യൂട്ടറുകൾ ഹൈജാക്ക് ചെയ്യുക, നീക്കം ചെയ്യാവുന്ന ഡ്രൈവുകൾ വഴി സിസ്റ്റങ്ങൾക്കിടയിൽ വ്യാപിക്കുക, ചില ഫയലുകൾ മോഷ്ടിക്കുക എന്നിവയാണ് ഗ്രൂപ്പിന്റെ പ്രധാന സവിശേഷത. ഭീഷണിപ്പെടുത്തുന്ന നടന്റെ പ്രധാന ലക്ഷ്യങ്ങൾ ചാരവൃത്തിയാണെന്ന് ഇത് കാണിക്കുന്നു.
കാസ്പെർസ്കിയുടെ ഗവേഷണമനുസരിച്ച്, ഭീഷണി നടൻ വ്യാജ സ്കൈപ്പ് ഇൻസ്റ്റാളറുകളും ക്ഷുദ്രകരമായ വേഡ് ഡോക്യുമെന്റുകളും ആക്രമണങ്ങളുടെ പ്രാരംഭ വെക്ടറുകളായി ഉപയോഗിക്കുന്നു. വ്യാജ സ്കൈപ്പ് ഇൻസ്റ്റാളറിൽ ഏകദേശം 400 MB യുടെ എക്സിക്യൂട്ടബിൾ ഫയൽ അടങ്ങിയിരിക്കുന്നു, അതിൽ JackalControl Trojan ഉം ബിസിനസ്സിനായുള്ള നിയമാനുസൃത സ്കൈപ്പും അടങ്ങിയിരിക്കുന്നു. ഈ ഉപകരണത്തിന്റെ ആദ്യ ഉപയോഗം 2020 മുതലുള്ളതാണ്. ഒരു വിദൂര ടെംപ്ലേറ്റ് ഇഞ്ചക്ഷൻ ടെക്നിക് ഉപയോഗിച്ച് ഒരു ഉദ്ദേശ്യത്തോടെ നിർമ്മിച്ച HTML പേജ് ഡൗൺലോഡ് ചെയ്യുന്നതിനായി ഫോളിന ദുർബലതയെ ചൂഷണം ചെയ്യുന്ന ഒരു ക്ഷുദ്ര രേഖയെ അടിസ്ഥാനമാക്കിയുള്ളതാണ് മറ്റൊരു അണുബാധ വെക്റ്റർ.
“ദേശീയ, വിദേശ അവാർഡുകൾ ലഭിച്ച ഉദ്യോഗസ്ഥരുടെ ഗാലറി. ഫോളിന അപകടസാധ്യതയെക്കുറിച്ചുള്ള വിവരങ്ങൾ ആദ്യം പങ്കിട്ടത് 29 മെയ് 2022 നാണ്, കൂടാതെ രേഖകൾ പ്രകാരം, കേടുപാടുകൾ പുറത്തുവന്ന് രണ്ട് ദിവസത്തിന് ശേഷം ജൂൺ 1 ന് ഡോക്യുമെന്റ് മാറ്റി. ജൂൺ രണ്ടിനാണ് രേഖ ആദ്യമായി കണ്ടത്. നിയമാനുസൃതവും വിട്ടുവീഴ്ച ചെയ്യപ്പെടുന്നതുമായ വെബ്സൈറ്റിൽ നിന്ന് ഒരു ബാഹ്യ ഒബ്ജക്റ്റ് ലോഡുചെയ്യാൻ കോൺഫിഗർ ചെയ്ത ബാഹ്യ ഡോക്യുമെന്റ് ഒബ്ജക്റ്റ് ഡൗൺലോഡ് ചെയ്തതിന് ശേഷം JackalControl Trojan ക്ഷുദ്രവെയർ അടങ്ങിയ എക്സിക്യൂട്ടബിൾ സമാരംഭിക്കുന്നു.
ജാക്കൽ കൺട്രോൾ ആക്രമണം, റിമോട്ട് കൺട്രോൾ
ടാർഗെറ്റ് മെഷീനെ വിദൂരമായി നിയന്ത്രിക്കാൻ ആക്രമണകാരികളെ അനുവദിക്കുന്ന പ്രധാന ട്രോജനായി ജാക്കൽ കൺട്രോൾ ആക്രമണം പ്രവർത്തിക്കുന്നു. വർഷങ്ങളായി, ആക്രമണകാരികൾ ഈ മാൽവെയറിന്റെ വ്യത്യസ്ത വകഭേദങ്ങൾ വിതരണം ചെയ്യുന്നു. ചില വകഭേദങ്ങളിൽ അവയുടെ സ്ഥിരത നിലനിർത്താൻ അധിക കോഡുകൾ അടങ്ങിയിരിക്കുന്നു, മറ്റുള്ളവ സിസ്റ്റത്തെ ബാധിക്കാതെ പ്രവർത്തിക്കാൻ ക്രമീകരിച്ചിരിക്കുന്നു. ബാച്ച് സ്ക്രിപ്റ്റുകൾ പോലെയുള്ള മറ്റ് ഘടകങ്ങളിലൂടെയാണ് മെഷീനുകൾ പലപ്പോഴും രോഗബാധിതരാകുന്നത്.
GoldenJackal ഗ്രൂപ്പ് വ്യാപകമായി ഉപയോഗിക്കുന്ന രണ്ടാമത്തെ പ്രധാന ഉപകരണം JackalSteal ആണ്. നീക്കം ചെയ്യാവുന്ന USB ഡ്രൈവുകൾ, റിമോട്ട് ഷെയറുകൾ, ടാർഗെറ്റുചെയ്ത സിസ്റ്റത്തിലെ എല്ലാ ലോജിക്കൽ ഡ്രൈവുകൾ എന്നിവയും നിരീക്ഷിക്കാൻ ഈ ഉപകരണം ഉപയോഗിക്കാം. ക്ഷുദ്രവെയറിന് ഒരു സ്റ്റാൻഡേർഡ് പ്രോസസ്സോ സേവനമോ ആയി പ്രവർത്തിക്കാൻ കഴിയും. എന്നിരുന്നാലും, ഇതിന് അതിന്റെ സ്ഥിരത നിലനിർത്താൻ കഴിയില്ല, അതിനാൽ മറ്റൊരു ഘടകം ലോഡുചെയ്യേണ്ടതുണ്ട്.
അവസാനമായി, GoldenJackal JackalWorm, JackalPerInfo, JackalScreenWatcher എന്നിവ പോലുള്ള നിരവധി അധിക ടൂളുകൾ ഉപയോഗിക്കുന്നു. Kaspersky ഗവേഷകർ സാക്ഷ്യപ്പെടുത്തിയ പ്രത്യേക സാഹചര്യങ്ങളിൽ ഈ ഉപകരണങ്ങൾ ഉപയോഗിക്കുന്നു. ഈ ടൂൾകിറ്റ് ഇരകളുടെ യന്ത്രങ്ങൾ നിയന്ത്രിക്കുക, ക്രെഡൻഷ്യലുകൾ മോഷ്ടിക്കുക, ഡെസ്ക്ടോപ്പുകളുടെ സ്ക്രീൻഷോട്ടുകൾ എടുക്കുക, ആത്യന്തിക ലക്ഷ്യമായി ചാരവൃത്തിക്കുള്ള പ്രവണത എന്നിവയെ സൂചിപ്പിക്കുന്നു.
കാസ്പെർസ്കി ഗ്ലോബൽ റിസർച്ച് ആൻഡ് അനാലിസിസ് ടീമിലെ (ഗ്രേറ്റ്) സീനിയർ സെക്യൂരിറ്റി ഗവേഷകനായ ജിയാംപോളോ ഡെഡോള പറഞ്ഞു:
“ഗോൾഡൻ ജാക്കൽ ഒരു രസകരമായ APT നടനാണ്, തന്റെ താഴ്ന്ന പ്രൊഫൈലിൽ നിന്ന് മാറിനിൽക്കാൻ ശ്രമിക്കുന്നു. 2019 ജൂണിൽ ആദ്യ പ്രവർത്തനങ്ങൾ ആരംഭിച്ചെങ്കിലും, അവർക്ക് മറഞ്ഞിരിക്കാൻ കഴിഞ്ഞു. ഒരു നൂതന ക്ഷുദ്രവെയർ ടൂൾകിറ്റ് ഉപയോഗിച്ച്, മിഡിൽ ഈസ്റ്റിലെയും ദക്ഷിണേഷ്യയിലെയും പൊതു, നയതന്ത്ര സ്ഥാപനങ്ങൾക്ക് നേരെയുള്ള ആക്രമണങ്ങളിൽ ഈ നടൻ വളരെ സമൃദ്ധമാണ്. ചില ക്ഷുദ്രവെയർ ഉൾച്ചേർക്കലുകൾ ഇപ്പോഴും വികസിപ്പിച്ചുകൊണ്ടിരിക്കുന്നതിനാൽ, സൈബർ സുരക്ഷാ ടീമുകൾക്ക് ഈ നടന്റെ സാധ്യമായ ആക്രമണങ്ങൾക്കായി ഒരു കണ്ണ് സൂക്ഷിക്കേണ്ടത് നിർണായകമാണ്. ഗോൾഡൻ ജാക്കലിന്റെ പ്രവർത്തനങ്ങൾ തടയാൻ ഞങ്ങളുടെ വിശകലനം സഹായിക്കുമെന്ന് ഞങ്ങൾ പ്രതീക്ഷിക്കുന്നു.