Eine neue Gruppe von Cyber-Kriminellen nutzt infizierte Skype-Installationsprogramme und Word-Dokumente für Malware-Angriffe. Die Gruppe namens GoldenJackal wurde durch ein Sicherheitsteam des Cyber-Security-Anbieters Kaspersky identifiziert. [1] Die Sicherheitsexperten konnten bei ihrer Analyse von GoldenJackal-Angriffen nachweisen, dass diese Gruppe bereits seit dem Jahr 2019 aktiv ist, jedoch bislang weitgehend unentdeckt geblieben ist. Das Bedrohungspotential der Cyber-Kriminellen wird als Advanced Persistent Threat (APT, zu Deutsch „hochentwickelte andauernde Bedrohung“) klassifiziert.
Auf dem Schirm der Kaspersky-Sicherheitsexperten sind die Aktivitäten der Gruppe bereits Mitte 2020 aufgetaucht. Für ihre Malware-Kampagnen benutzen die APT-Akteure ein spezielles Tool-Set, mit dem sie die Rechner ihrer Opfer kontrollieren, ihre Aktionen über Systemgrenzen ausweiten und bestimmte Dateien abgreifen können. Das Design dieser Funktionalitäten deutet darauf hin, dass das Hauptziel der Akteure Spionage ist, anscheinend hat es die Gruppe aktuell in erster Linie auf staatliche und diplomatische Einrichtungen im Nahen Osten und Südasien abgesehen.
Wie die Untersuchungen von Angriffen ergaben, nutzt die Gruppe gefälschte Skype-Installationsprogramme und infizierte Word-Dokumente zur „Initialzündung“ ihrer Malware-Attacken. Bei dem gefälschten Skype-Installationsprogramm handelt es sich um eine ausführbare 400-MB-Datei, die einen Dropper mit zwei Ressourcen mitbringt: ein funktionsfähiges Skype-for-Business-Installationsprogramm und den vor den Gruppe programmierten JackalControl-Trojaner.
Wie schnell bei GoldenJackal in Reaktion auf die Implementation von effektiven Sicherheitsmaßnahmenmit Modifikationen von Infektionsvektoren vorgenommen werden, zeigt die Analyse der Kaspersky-Teams zum von den APT-Akteuren eingesetzten schädlichen Word-Dokument. Um eine mit Malware infizierte HTML-Seite herunterzuladen, greift das Dokument auf eine Remote-Template-Injection-Routine zurück und diese wiederum nutzt die Follina-Schwachstelle [2] gezielt aus. Die unter dem Namen „Follina“ bekannt gewordene Schwachstelle CVE-2022-30190 wird bereits seit Mai 2022 in Angriffen ausgenutzt. Kriminelle bedienen sich dabei der Microsoft Support Diagnostics Utility (msdt.exe) über das ms-msdt:-Protokoll, um bösartige Word-Dokumente (oder Excel-Arbeitsblätter) aus dem Web herunterzuladen und auf den Rechnern von Opfern zu platzieren. Zudem sind auch Wege zum Missbrauch über Wget in der PowerShell bekannt geworden. Die Angreifer können die Sicherheitslücke ausnutzen, um Remote-Code mit den Rechten der aufrufenden Anwendung auszuführen. GoldenJackal nutzt für derlei Aktionen unter anderem ein Dokument mit dem Namen „Gallery of Officers Who Have Received National and Foreign Awards.docx“. Am 29. Mai 2022 wurde die erste Beschreibung der Follina-Schwachstelle veröffentlicht. Zwei Tage darauf, am 1. Juni wurde das Dokument schon modifiziert.
Über die Monate hat diese Gruppe von Cyber-Kriminellen verschiedene Varianten dieser Malware verbreitet: Einige enthalten einen Code, der die Systeme lokal befällt, andere wurden so konfiguriert, dass sie ausgeführt werden, ohne das lokale System zu infizieren, das nur als unauffällige Zwischenstation genutzt wird. Wenn es um lokale Infektionen geht, kommt ein weiteres wichtiges Tool der APT-Gruppe ins Spiel: JackalSteal. Damit können USB-Wechsellaufwerke, Remote-Freigaben und alle Laufwerke im Zielsystem überwacht werden. Die Malware kann als Standardprozess oder als eigener Dienst ausgeführt werden, muss allerdings von einer anderen Komponente installiert werden. Darüber hinaus setzt GoldenJackal eine Reihe zusätzlicher Tools ein, so den JackalWorm, JackalPerInfo und den JackalScreenWatcher, die allesamt darauf abzielen, die Rechner von Opfern zu kontrollieren, Anmeldedaten zu stehlen oder sogar Screenshots des Desktops anzufertigen.
„Die APT-Gruppe [GoldenJackal] verfügt über ein fortschrittliches Malware-Toolset“, kommentiert Kaspersky-Sicherheitsexperte Giampaolo Dedola. „Da sich manche der Malware-Implantate noch in der Entwicklungsphase befinden, sollten Cybersicherheitsteams unbedingt auf mögliche Angriffe durch diesen Bedrohungsakteur achten. Wir hoffen, dass unsere Analyse dazu beiträgt, Angriffe von GoldenJackal zu verhindern.“ Der vollständige Kaspersky-Bericht über die APT-Gruppe GoldenJackal ist frei verfügbar unter https://securelist.com/goldenjackal-apt-group/109677/
