GoldenJackal - это APT-группа, активная с 2019 года, которая обычно нацелена на правительственные и дипломатические структуры на Ближнем Востоке и в Южной Азии. Несмотря на то, что они начали свою деятельность несколько лет назад, эта группа в целом неизвестна и, насколько нам известно, не была публично описана.
Kaspersky Lab начали наблюдать за этой группой в середине 2020 года и отметили постоянный уровень активности, который указывает на способного и скрытного субьекта. Основной особенностью этой группы является специфический набор инструментов вредоносного ПО .NET, JackalControl, JackalWorm, JackalSteal, JackalPerInfo и JackalScreenWatcher, предназначенный для:
- контролировать компьютеры жертв
- распространяться по системам с помощью съемных дисков
- эксфильтрации определенных файлов из зараженной системы
- кража учетных данных
- собирать информацию о локальной системе
- собирать информацию о веб-активности пользователей
- делать снимки экрана рабочего стола.
Основываясь на наборе инструментов и поведении атакующего, Kaspersky полагают, что его основной мотивацией является шпионаж.
Indicators of Compromise
URLs
- http://abert-online.de/meeting/plugins.php
- http://acehigh.host/robotx.php
- http://assistance.uz/admin/plugins.php
- http://cnom.sante.gov.ml/components/com_avreloaded/views/popup/tmpl/header.php
- http://info.merysof.am/plugins/search/content/plugins.php
- http://invest.zyrardow.pl/admin/model/setting/plugins.php
- http://weblines.gr/gallery/gallery_input.php
- http://www.wetter-bild.de/plugins.php
- https://ajapnyakmc.com/wp-content/cache/index.php
- https://asusiran.com/wp-content/plugins/persian-woocommerce/include/class-cache.php
- https://asusiran.com/wp-content/themes/woodmart/inc/modules/cache.php
- https://croma.vn/wp-content/themes/croma/template-parts/footer.php
- https://den-photomaster.kz/wp-track.php
- https://eyetelligence.ai/wp-content/themes/cms/inc/template-parts/footer.php
- https://finasteridehair.com/wp-includes/class-wp-network-statistics.php
- https://gradaran.be/wp-content/themes/tb-sound/inc/footer.php
- https://mehrganhospital.com/wp-includes/class-wp-tax-system.php
- https://meukowcognac.com/wp-content/themes/astra/page-flags.php
- https://nassiraq.iq/wp-includes/class-wp-header-styles.php
- https://new.jmcashback.com/wp-track.php
- https://news.lmond.com/wp-content/themes/newsbook/inc/footer.php
- https://pabalochistan.gov.pk/new/wp-content/cache/functions.php
- https://pabalochistan.gov.pk/new/wp-content/themes/dt-the7/inc/cache.php
- https://pabalochistan.gov.pk/new/wp-content/themes/twentyfifteen/content-manager.php
- https://sbj-i.com/wp-content/plugins/wp-persian/includes/class-wp-cache.php
- https://sbj-i.com/wp-content/themes/hamyarwp-spacious/cache.php
- https://sokerpower.com/wp-includes/class-wp-header-styles.php
- https://tahaherbal.ir/wp-includes/class-wp-http-iwr-client.php
- https://technocometsolutions.com/wp-content/themes/seofy/templates-sample.php
- https://winoptimum.com/wp-includes/customize/class-wp-customize-sidebar-refresh.php
- https://www.djstuff.fr/wp-content/themes/twentyfourteen/inc/footer.php
- https://www.pak-developers.net/internal_data/templates/bottom.jpg
- https://www.pak-developers.net/internal_data/templates/template.html
- https://www.perlesoie.com/wp-content/plugins/contact-form-7/includes/cache.php
- https://www.perlesoie.com/wp-content/themes/flatsome/inc/classes/class-flatsome-cache.php
MD5
- 1072bfeee89e369a9355819ffa39ad20
- 4f041937da7748ebf6d0bbc44f1373c9
- 5de309466b2163958c2e12c7b02d8384
- 5ed498f9ad6e74442b9b6fe289d9feb3
- 8c1070f188ae87fba1148a3d791f2523
- a491aefb659d2952002ef20ae98d7465
- a5ad15a9115a60f15b7796bc717a471d
- c05999b9390a3d8f4086f6074a592bc2
- c6e5c8bd7c066008178bc1fb19437763
- eab4f3a69b2d30b16df3d780d689794c