• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Industry 5.0
  • Sanità Digitale
  • ReStart in Green
  • Contattaci
Close Menu
Top Trade
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    Trending
    • ProArt Display PA27UCGE: il nuovo monitor di casa ASUS
    • E-commerce: un settore che vale 150 miliardi di euro
    • MSP e security awareness training: l’offerta formativa di Acronis
    • Molex premia le eccellenti performance di Avnet Abacus
    • WEOZ ottimizza l’efficienza energetica, riducendo i costi operativi
    • Ai TV OLED LG 2025 la certificazione “True Visual Experience”
    • Hard disk più duraturi? Bastano tre accorgimenti
    • Versa e Alcatel-Lucent Enterprise consolidano la partnership
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    Top Trade
    • Tecnologie
    • Strategie
    • Infrastrutture
    • Sicurezza
    • Tendenze
    Top Trade
    Sei qui:Home»Featured»Kaspersky scopre GoldenJackal

    Kaspersky scopre GoldenJackal

    By Redazione Top Trade26/05/20234 Mins Read
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    Kaspersky scopre GoldenJackal, nuovo gruppo APT che spia gli enti diplomatici in Medio Oriente e Asia Meridionale

    Foto di Jiradet Inrungruang da Pixabay

    Kaspersky ha scoperto GoldenJackal, un nuovo gruppo APT attivo dal 2019 senza però un profilo pubblico e quindi rimasto ampiamente sconosciuto. Come emerge dall’analisi, questo gruppo prende solitamente di mira enti governativi e diplomatici del Medio Oriente e dell’Asia Meridionale.

    Kaspersky ha iniziato il monitoraggio di GoldenJackal a metà del 2020 e ha osservato un’attività regolare, che indica un attore abile e abbastanza furtivo. La caratteristica principale di questo gruppo è un set specifico di strumenti, che mira a controllare i dispositivi delle vittime, diffondersi attraverso i sistemi utilizzando unità removibili e sottrarre determinati file, suggerendo come la sua motivazione principale sia lo spionaggio.

    Come agisce GoldenJackal

    Come dimostra l’indagine di Kaspersky, l’attore ha usato installer falsi di Skype e documenti Word dannosi come vettori iniziali dei propri attacchi. Il file di installazione fasullo di Skype era un file eseguibile di circa 400 MB, e si trattava di un dropper contenente due risorse: il Trojan JackalControl e un installer legittimo standalone di Skype for business. Il primo utilizzo di questo strumento risale al 2020. Un altro vettore di infezione era un documento malevolo che utilizza la tecnica di injection di modelli remoti per scaricare una pagina HTML nociva, che sfrutta la vulnerabilità Follina.

    GoldenJackal
    La prima pagina del documento malevolo.

    Il documento è stato denominato “Gallery of Officers Who Have Received National and Foreign Awards.docx” e sembra una circolare legittima che richiede informazioni sugli ufficiali decorati dal Governo del Pakistan. La prima descrizione della vulnerabilità Follina è stata pubblicata il 29 maggio del 2022 e questo documento sembrerebbe essere stato modificato il 1° giugno, due giorni dopo la pubblicazione, ed è stato scoperto per la prima volta il 2 giugno.

    Controllo da remoto della macchina presa di mira

    Il documento è stato programmato per caricare un oggetto esterno da un sito web legittimo, ma compromesso. Una volta scaricato l’oggetto, viene lanciato il file eseguibile che contiene il malware JackalControl Trojan.

    JackalControl è il trojan principale e permette agli aggressori di controllare da remoto la macchina presa di mira, attraverso una serie di comandi predefiniti. Nel corso degli anni, i cyber criminali hanno distribuito diverse varianti di questo malware: alcune includono un codice per garantire la persistenza, altre sono state configurate per funzionare senza infettare il sistema. La macchina, solitamente, viene infettata da altre componenti, come uno script batch.

    Il secondo strumento utilizzato dal gruppo è JackalSteal e permette di monitorare le unità USB removibili, le condivisioni da remoto e tutte le unità ottiche del sistema preso di mira. Il malware può funzionare come un processo standard o come un servizio. Poiché non può mantenere persistenza, deve essere installato da un altro componente.

    Obiettivo finale: lo spionaggio

    Infine, come osservato da Kaspersky, GoldenJackal usa diversi strumenti aggiuntivi in casi specifici ad esempio JackalWorm, JackalPerInfo e JackalScreenWatcher. Questo set di strumenti ha l’intento di controllare i dispositivi delle vittime, rubare le loro credenziali, fare screenshot del loro desktop e così via, con l’obiettivo finale dello spionaggio.

    Kaspersky scopre GoldenJackal
    (Photo by Ernesto S. Ruscio/Getty Images for Kaspersky Lab Italia)

    “GoldenJackal è un attore APT interessante, che cerca di mantenere un profilo basso. Nonostante abbia cominciato la sua attività nel giugno 2019, ha fatto in modo di restare lontano dai radar. Dal momento che possiede un set di strumenti malware avanzati, è stato piuttosto prolifico nei suoi attacchi a governi e a enti diplomatici in Medio Oriente e Asia Meridionale. Dal momento che alcuni degli impianti di malware sono ancora in fase di sviluppo, è essenziale che i team di cybersecurity facciano attenzione a ogni eventuale attacco che può essere perpetuato da questo attore. Speriamo che la nostra analisi aiuti a prevenire l’attività di GoldenJackal”, ha dichiarato Giampaolo Dedola, Senior Security Researcher Global Research and Analysis Team (GReAT) di Kaspersky.

    Evitare un attacco mirato (non solo) di GoldenJackal in poche mosse

    • Fornire al team SOC l’accesso alle informazioni più recenti di Threat Intelligence (TI) Kaspersky Threat Intelligence Portal è un unico punto di accesso alle informazioni sulle minacce dell’azienda, che fornisce dati e approfondimenti sugli attacchi informatici raccolti da Kaspersky in oltre 20 anni.
    • Aggiornare il vostro team di cybersecurity per affrontare le ultime minacce mirate con la formazione online di Kaspersky, sviluppata dagli esperti di GReAT.
    • Per il rilevamento a livello endpoint, le indagini e la tempestiva risoluzione degli incidenti, implementare soluzioni EDR come Kaspersky Endpoint Detection and Response.
    • In aggiunta alla protezione endpoint, implementare una soluzione di sicurezza di livello aziendale, che rileva minacce avanzate sulla rete in fase iniziale, come Kaspersky Anti Targeted Attack Platform.

    Dato che molti attacchi mirati iniziano con il phishing o altre tecniche di social engineering, è consigliabile introdurre sessioni di formazione dedicate alla sicurezza e allo sviluppo di competenze pratiche, ad esempio attraverso Kaspersky Automated Security Awareness Platform.

    Giampaolo Dedola GoldenJackal kaspersky Nuovo gruppo APT trojan
    Share. Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione Top Trade
    • Website
    • Facebook
    • X (Twitter)

    TopTrade è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    E-commerce: un settore che vale 150 miliardi di euro

    19/06/2025

    MSP e security awareness training: l’offerta formativa di Acronis

    19/06/2025

    WEOZ ottimizza l’efficienza energetica, riducendo i costi operativi

    18/06/2025
    Advertisement
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    BitMATv – I video di BitMAT
    Legrand Data Center al Data Center Nation per parlare del data center del futuro!
    Snom: focus su tecnologia e partner
    Cumulabilità Transizione 5.0 e ZES: i vantaggi del Litio
    Transizione 5.0: vuoi il 45% sui software?
    Stormshield: Zero Trust pilastro della security aziendale
    Più letti

    Immagine vince la sua scommessa con Liyu Platinum Q3

    14/02/2023

    Toshiba Canvio Gaming è il regalo perfetto per la festa del papà

    11/03/2025

    Il lavoro e le sue trasformazioni

    14/12/2022

    F-Secure Global Partner Program: approccio olistico alla sicurezza

    20/09/2019

    Fondazione Aidr dona 5 stampanti Canon alle scuole

    13/11/2023
    NAVIGAZIONE
    • Tecnologie
    • Strategie
    • Infrastrutture
    • Sicurezza
    • Tendenze
    Informazioni
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione online ed offline rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook X (Twitter) Instagram Vimeo LinkedIn RSS
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2025 - BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 295 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Type above and press Enter to search. Press Esc to cancel.