Le texte suivant est issu d’un communiqué de presse et ne reflète en aucun cas l’avis de la rédaction.
• Lors d’une autre attaque, GoldenJackal a déployé, à plusieurs reprises, de mai 2022 à mars 2024, des outils hautement modulaires contre l’organisation gouvernementale d’un pays de l’UE.
• Ces outils fournissent à GoldenJackal de larges capacités pour compromettre et persister dans les réseaux ciblés. Les systèmes victimes jouent alors différents rôles dans le réseau local, de la collecte d’informations intéressantes et confidentielles au traitement de l’information, en passant par la distribution de fichiers, de configurations et de commandes à d’autres systèmes, ou encore l’exfiltration de fichiers.
• L’objectif ultime de GoldenJackal est probablement le vol d’informations confidentielles, notamment sur des machines de haut niveau intentionnellement isolées d’Internet.
MONTRÉAL, BRATISLAVA, 7 octobre 2024 —ESET Research a découvert une série d’attaques qui ont eu lieu en Europe entre mai 2022 et mars 2024, au cours desquelles les attaquants ont utilisé un ensemble d’outils capables de cibler des systèmes isolés d’une organisation gouvernementale d’une UE. pays. ESET attribue la campagne à GoldenJackal, un groupe de cyberespionnage APT qui cible les entités gouvernementales et diplomatiques. En analysant l’ensemble d’outils déployés, ESET a identifié une précédente attaque GoldenJackal, en 2019, contre une ambassade d’Asie du Sud en Biélorussie. Il a ciblé les systèmes isolés de l’ambassade avec des outils personnalisés. L’objectif ultime de GoldenJackal est très probablement le vol d’informations confidentielles et sensibles, en particulier sur des machines bien connues qui ne sont peut-être pas connectées à Internet. ESET Research a présenté ces résultats lors de la conférence Virus Bulletin 2024.
Pour réduire le risque de compromission, les réseaux hautement sensibles sont souvent isolés des autres réseaux. Les organisations isolent généralement leurs systèmes les plus précieux, tels que les systèmes de vote et de contrôle industriels gérant les réseaux électriques. Généralement, ces réseaux intéressent les attaquants. Compromettre un réseau isolé nécessite bien plus de ressources que pirater un système connecté à Internet, ce qui signifie que les systèmes conçus pour attaquer des réseaux isolés ont jusqu’à présent été exclusivement développés par des groupes APT. Le but de ces attaques est toujours l’espionnage.
« En mai 2022, nous avons découvert des outils que nous ne pouvions attribuer à aucun groupe APT. Mais lorsque les attaquants ont utilisé un outil similaire à celui déjà documenté, nous avons pu creuser plus profondément et découvrir un lien entre l’ensemble d’outils publiquement documenté de GoldenJackal et ce nouveau venu. En extrapolant, nous avons identifié une attaque précédente dans laquelle l’ensemble complet des outils documentés avait été déployé, ainsi que des outils plus anciens, également capables de cibler des systèmes isolés », explique Matías Porolli, chercheur d’ESET, qui a analysé les outils GoldenJackal.
GoldenJackal cible les entités gouvernementales en Europe, au Moyen-Orient et en Asie du Sud. En août et septembre 2019, puis à nouveau en juillet 2021, ESET a détecté les outils GoldenJackal dans une ambassade d’Asie du Sud en Biélorussie. Plus récemment, selon la télémétrie ESET, une autre organisation gouvernementale européenne a été ciblée à plusieurs reprises entre mai 2022 et mars 2024.
En raison de la sophistication requise, il est assez inhabituel qu’en cinq ans, GoldenJackal ait réussi à déployer non pas un, mais deux ensembles d’outils distincts pour compromettre des systèmes isolés. Cela prouve l’ingéniosité du groupe. Les attaques contre une ambassade d’Asie du Sud en Biélorussie ont fait appel à des outils personnalisés jamais vus auparavant. La campagne comportait trois éléments principaux : GoldenDealer pour fournir des exécutables au système isolé via la surveillance USB ; GoldenHowl, une porte dérobée modulaire avec diverses fonctionnalités et GoldenRobo, pour collecter et exfiltrer des fichiers.
“Lorsqu’une victime insère une clé USB compromise dans un système isolé et clique sur un composant avec une icône de dossier mais qui est en fait un exécutable malveillant, GoldenDealer est installé et exécuté, et commence à collecter des informations sur le système isolé et à les stocker sur la clé USB. bâton. Lorsque la clé est à nouveau insérée dans le PC connecté à Internet, GoldenDealer récupère les informations sur le PC isolé de la clé USB et les envoie au serveur C&C. Lorsque la clé est à nouveau insérée dans ce PC, GoldenDealer récupère les exécutables de la clé et les exécute. Aucune interaction de l’utilisateur n’est nécessaire car GoldenDealer est déjà en cours d’exécution », explique Porolli.
Lors de sa dernière série d’attaques contre une organisation gouvernementale européenne, GoldenJackal a abandonné son ensemble d’outils d’origine au profit d’un nouvel ensemble hautement modulaire. Cette approche modulaire s’appliquait non seulement aux outils malveillants, mais également aux rôles des hôtes victimes au sein du système compromis. Ces hôtes étaient utilisés, entre autres, pour collecter et traiter des informations précieuses et confidentielles, pour distribuer des fichiers, des configurations et des commandes à d’autres systèmes et pour exfiltrer des fichiers.
Pour un examen plus approfondi et une analyse technique des outils de GoldenJackal, consultez le dernier blog d’ESET Research « Mind the (air) gap : GoldenJackal Go Government Guardrails » sur www.welivesecurity.com. Suivez également ESET Research sur Twitter (aujourd’hui connu sous le nom de X) pour les dernières nouvelles d’ESET Research.
À PROPOS D’ESET ESET® offre une sécurité de pointe pour prévenir les attaques avant qu’elles ne se produisent. Grâce à la puissance de l’IA et de l’expertise humaine, ESET garde une longueur d’avance sur les menaces connues et émergentes, en sécurisant les appareils mobiles, ses solutions et services basés sur l’IA et axés sur le cloud sont efficaces et faciles à utiliser. La technologie ESET comprend une détection et une réponse robustes, un cryptage ultra-sécurisé et une authentification multifacteur. Avec une défense en temps réel 24h/24 et 7j/7 et une assistance locale solide, ESET assure la sécurité des utilisateurs et des entreprises sans interruption. Un paysage numérique en constante évolution exige une approche progressive de la sécurité : ESET dispose de recherches de classe mondiale et de puissantes informations sur les menaces, soutenues par des centres de R&D ainsi qu’un réseau mondial de partenaires. Plus d’infos : www.eset.com ou LinkedIn, Facebook, X et https://www.eset.com/be-fr/.
Related News :