The Hacker News 網站披露，一個名為 GoldenJackal 的 APT 團伙正以中東和南亞的政府、外交等實體組織為目標，開展大規模網絡攻擊活動。

俄羅斯網絡安全公司卡巴斯基表示自 2020 年年中以來一直在密切關注 Golden Jackal 組織的活動，其目標范圍主要集中在阿富汗、阿塞拜疆、伊朗、伊拉克、巴基斯坦和土耳其等國，團伙成員除了使用定制的惡意軟件感染受害者竊取數據，還通過可移動驅動器在系統中傳播，并進行持續監視。

GoldenJackal 疑似與 APT 組織 Turla 有聯系

盡管業內人士對 GoldenJackal 團伙知之甚少，但不少人都懷疑其已經活躍了至少四年時間，卡巴斯基指出目前尚無法確定其來源以及與知名黑客組織者的關系，但從其作案手法來看，帶有強烈的間諜動機。更重要的是，GoldenJackal 團伙還一直試圖保持低調，這樣的舉動符合具有國家背景黑客團體的所有特征。

研究人員在 GoldenJackal 和疑似俄羅斯背景的 APT 組織 Turla 之間已經觀察到了一些戰術上的重疊。在一個案例中，一臺受害者的機器被 Turla 和 GoldenJackal 感染的時間僅僅相差兩個月。目前，雖然不知道用于入侵目標計算機的確切初始路徑尚不清楚，但迄今為止收集的證據表明攻擊者使用了被黑客入侵的 Skype 安裝程序和惡意 Microsoft Word 文檔。

安裝程序充當了傳遞名為 JackalControl 的基于.NET 的特洛伊木馬的渠道。此外，有人觀察到 Word 文件將Follina漏洞（CVE-2022-30190）武器化，以刪除相同的惡意軟件。

顧名思義，JackalControl 使攻擊者能夠遠程征用機器，執行任意命令，以及從系統上傳和下載到系統。

受害目標的地理位置分布

GoldenJackal 部署的其它一些惡意軟件如下：

• JackalSteal： 一種植入物，用于尋找感興趣的文件，包括位于可移動 USB 驅動器中的文件，并將它們傳輸到遠程服務器。
• JackalWorm：一種蠕蟲病毒，被設計用來感染使用可移動 USB 驅動器的系統，并安裝 JackalControl 木馬。
• JackalPerInfo：一種惡意軟件，具有收集系統元數據、文件夾內容、已安裝的應用程序和正在運行的進程，以及存儲在網絡瀏覽器數據庫中憑證的功能。
• JackalScreenWatcher ：一個根據預設時間間隔抓取屏幕截圖并將其發送到攻擊者控制的服務器的實用程序。

GoldenJackal 團伙另一個值得注意的是它依靠被黑的 WordPress 網站作為中轉站，通過注入網站的流氓PHP 文件，將網絡請求轉發到實際的命令和控制（C2）服務器上。

最后，卡巴斯基研究員 Giampaolo Dedola 強調：GoldenJackal 團伙的工具包似乎還在持續開發中，變種的數量增加表明他們仍在追加“投資”，但該組織可能正試圖通過限制受害者的數量來降低其知名度。

參考文章：https://thehackernews.com/2023/05/goldenjackal-new-threat-group-targeting.html