將機(jī)要系統(tǒng)與任何聯(lián)網(wǎng)系統(tǒng)完全隔離通常被認(rèn)為是最安全的防御措施，但隨著黑客技術(shù)的發(fā)展，這道堅(jiān)不可摧的安全屏障已不再牢固，甚至有一家專門針對(duì)政府設(shè)施下手的APT組織已研發(fā)出了兩套工具集，對(duì)已隔離系統(tǒng)展開了全方位攻勢(shì)。

ESET 的研究人員近期詳細(xì)披露了一個(gè)名為“GoldenJackal”的網(wǎng)絡(luò)APT 組織，能夠利用多種惡意工具組合對(duì)政府和外交實(shí)體進(jìn)行攻擊，包括使用特定工具成功針對(duì)氣隙系統(tǒng)（即已隔離系統(tǒng)）的攻擊。

GoldenJackal 簡(jiǎn)介

GoldenJackal于2023年5月被卡巴斯基首次披露，但該組織最早的活動(dòng)可追溯至2019年8月至9月間針對(duì)白俄羅斯南亞大使館的攻擊，期間使用的惡意工具于2021年7月再度被檢測(cè)到。

據(jù)稱，GoldenJackal長(zhǎng)期以歐洲、中東和南亞的政府實(shí)體為目標(biāo)，但根據(jù)卡巴斯基的報(bào)告，2020年之后，針對(duì)中東和南亞政府和外交實(shí)體的攻擊數(shù)量有所緩和。根據(jù)ESET近期的監(jiān)測(cè)數(shù)據(jù)，從 2022 年 5 月到 2024 年 3 月，歐盟政府組織多次成為了該組織的目標(biāo)。

目前，ESET和卡巴斯基都未明確將該組織與任何國(guó)家聯(lián)系起來，但其中一款名為GoldenHowl 惡意軟件的C&C 協(xié)議被稱為 transport_http，與已知的 Turla和 MoustachedBouncer 通常使用的表達(dá)方式相同，可能表明 其背后的開發(fā)者是俄語(yǔ)使用者。

針對(duì)已隔離系統(tǒng)的攻擊

為了最大限度地降低泄露風(fēng)險(xiǎn)，高度敏感的網(wǎng)絡(luò)通常采用了完全隔離的系統(tǒng)，以保護(hù)那些最有價(jià)值的系統(tǒng)（如投票系統(tǒng)和運(yùn)行電網(wǎng)的工業(yè)控制系統(tǒng)），這些網(wǎng)絡(luò)通常正是攻擊者最感興趣的目標(biāo)。相應(yīng)的，破壞隔離系統(tǒng)比破壞一般互聯(lián)網(wǎng)連接的系統(tǒng)要耗費(fèi)更多資源，迄今為止此類攻擊都是由 APT 組織專門開發(fā)的間諜活動(dòng)。

而GoldenJackal在5年時(shí)間內(nèi)構(gòu)建和部署了兩套獨(dú)立的工具集來破壞已隔離系統(tǒng)，顯示出該組織出色的技術(shù)實(shí)力。

1.針對(duì)白俄羅斯的攻擊

在2019年針對(duì)白俄羅斯南亞大使館的攻擊中，研究人員觀察到3個(gè)自定義工具集：

• GoldenDealer：通過 USB 監(jiān)控將可執(zhí)行文件植入到已隔離系統(tǒng)，可從 C&C 服務(wù)器下載可執(zhí)行文件并將其隱藏在U盤中，或者從這些U盤中檢索可執(zhí)行文件并在沒有連接的系統(tǒng)上執(zhí)行 ;
• GoldenHowl：具有各種功能的模塊化后門，包括從 JSON 文件解密并加載惡意軟件的配置 、創(chuàng)建惡意軟件使用的目錄以及為每個(gè)模塊啟動(dòng)一個(gè)線程 ;
• GoldenRobo：執(zhí)行文件收集和滲透功能，執(zhí)行 Robocopy 實(shí)用程序來暫存文件并將其發(fā)送到其 C&C 服務(wù)器。

在攻擊鏈中，具體的初始攻擊媒介未知，研究人員假設(shè) GoldenDealer 和未知蠕蟲組件已經(jīng)存在于可以訪問互聯(lián)網(wǎng)的受感染 PC 上，每當(dāng)插入U(xiǎn)盤時(shí)，未知組件都會(huì)將自身和 GoldenDealer 組件復(fù)制到驅(qū)動(dòng)器中。

研究人員將這個(gè)未知組件暫稱為 JackalWorm，該組件很可能在U盤上找到最后修改的目錄，將其隱藏，并使用該目錄的名稱將自身重命名。此外，該組件使用了文件夾圖標(biāo)，以誘使用戶在將 U 盤插入已隔離系統(tǒng)時(shí)點(diǎn)擊運(yùn)行。

當(dāng)驅(qū)動(dòng)器再次插入連接到互聯(lián)網(wǎng)的PC時(shí)，GoldenDealer會(huì)從U盤中獲取關(guān)于已隔離系統(tǒng)的信息，并將其發(fā)送到C&C服務(wù)器。服務(wù)器回復(fù)一個(gè)或多個(gè)要在已隔離系統(tǒng)上運(yùn)行的可執(zhí)行文件。最后，當(dāng)U盤再次插入已隔離系統(tǒng)時(shí)，GoldenDealer會(huì)從驅(qū)動(dòng)器中獲取可執(zhí)行文件并運(yùn)行。

針對(duì)已隔離系統(tǒng)的攻擊鏈

2.針對(duì)歐洲政府的攻擊

在近期針對(duì)歐洲政府機(jī)構(gòu)的攻擊中，GoldenJackal 轉(zhuǎn)向了高度模塊化的新工具集，這種模塊化方法不僅適用于惡意工具的設(shè)計(jì)，還包括其具體的功能，如收集和處理信息，將文件、配置和命令分發(fā)到其他系統(tǒng)以及外泄文件。

2022 年 5 月，研究人員觀察到GoldenJackal 在針對(duì)歐洲的一家政府組織時(shí)使用了新工具集，這些工具中的大多數(shù)都是用 Go 編寫的，并提供了多種功能，例如從U盤收集文件、通過U盤 在網(wǎng)絡(luò)中傳播有效載荷、泄露文件以及使用網(wǎng)絡(luò)中的一些 PC 作為服務(wù)器將各種文件傳送到其他系統(tǒng)。此外，研究人員還看到攻擊者使用 Impacket 在網(wǎng)絡(luò)中橫向移動(dòng)。

GoldenJackal 最新工具集中的組件

在觀察到的攻擊中，GoldenJackal 通過高度模塊化的工具，使用各種組件來執(zhí)行不同的任務(wù)。一些主機(jī)被濫用以泄露文件，另一些主機(jī)被用作本地服務(wù)器來接收和分發(fā)暫存文件或配置文件，而另一些主機(jī)則被認(rèn)為用于間諜目的。一些典型工具包括：

• GoldenUsbCopy：監(jiān)視U盤的插入，并將目標(biāo)文件復(fù)制到存儲(chǔ)在磁盤上的加密容器中，以供其他組件泄露;
• GoldenAce：屬分發(fā)工具，用于傳播其他惡意可執(zhí)行文件并通過U盤檢索暫存文件;
• GoldenBlacklist：從本地服務(wù)器下載加密存檔，并處理其中包含的電子郵件，以僅保留目標(biāo)內(nèi)容。并為其他組件生成一個(gè)新的存檔以進(jìn)行外泄;
• GoldenMailer：通過向攻擊者控制的帳戶發(fā)送帶有附件的電子郵件來泄露文件;
• GoldenDrive：與 GoldenMailer 相反，此組件通過將文件上傳到 Google Drive 來泄露文件。

目前尚不清楚 GoldenJackal 如何設(shè)法獲得初始妥協(xié)以破壞目標(biāo)環(huán)境。但是，卡巴斯基此前曾暗示過木馬化 Skype 安裝程序和惡意 Microsoft Word 文檔作為入口點(diǎn)的可能性。

上述兩起典型攻擊表明，即便是安全保障嚴(yán)格的隔離系統(tǒng)，仍然存在被一些有實(shí)力的黑客組織通過研發(fā)復(fù)雜工具來成功實(shí)施攻擊。但研究人員強(qiáng)調(diào)，這些工具并非沒有缺陷，仍可通過觀察其戰(zhàn)術(shù)來更好地準(zhǔn)備應(yīng)對(duì)未來的攻擊。研究人員已在 GitHub 上分享了一份公開的 IOC 列表，供防御者進(jìn)行監(jiān)控。