Cyberthreat.id – Peneliti keamanan siber dari Kaspersky mengungkapkan bahwa kelompok APT GoldenJackal menargetkan entitas pemerintah dan diplomatik di Timur Tengah dan Asia Selatan.

Dikutip dari Info Security Magazine, dalam laporan terbarunya Kaspersky menyebutkan bahwa GoldenJackal telah aktif sejak 2019, menggunakan alat yang dirancang untuk mengendalikan mesin korban dan melakukan kegiatan spionase.

“Berdasarkan perangkat mereka dan perilaku penyerang, kami yakin motivasi utama pelaku adalah spionase,” jelas peneliti keamanan senior Giampaolo Dedola.

Kaspersky mengatakan, pihaknya telah memantau GoldenJackal sejak pertengahan 2020. Penyelidikannya mengungkapkan bahwa grup tersebut menggunakan penginstal Skype palsu dan dokumen Word berbahaya sebagai vektor serangan awal. Penginstal Skype palsu bertindak sebagai penetes, berisi dua sumber: Trojan JackalControl dan penginstal mandiri Skype for Business yang sah.

Sebaliknya, dokumen Word berbahaya menggunakan teknik injeksi template jarak jauh untuk mengunduh halaman HTML berbahaya, yang mengeksploitasi kerentanan Follina. Trojan JackalControl adalah malware utama yang digunakan oleh GoldenJackal. Ini memungkinkan penyerang untuk mendapatkan kendali jarak jauh atas perangkat yang ditargetkan menggunakan serangkaian perintah yang telah ditentukan dan didukung.

Kaspersky telah mengamati berbagai varian malware ini; beberapa berfokus pada mempertahankan kegigihan sementara yang lain berjalan tanpa menginfeksi sistem. Grup tersebut juga dilaporkan menggunakan alat yang disebut JackalSteal, yang memantau drive USB yang dapat dilepas, pembagian jarak jauh, dan drive logis dalam sistem yang ditargetkan. Selain itu, dalam kasus tertentu, GoldenJackal terlihat menerapkan alat tambahan seperti JackalWorm, JackalPerInfo, dan JackalScreenWatcher.

“Toolkit [GoldenJackal] tampaknya sedang dalam pengembangan – jumlah varian menunjukkan bahwa mereka masih berinvestasi di dalamnya. Malware terbaru, JackalWorm, muncul pada paruh kedua tahun 2022 dan tampaknya masih dalam tahap pengujian,” tulis Dedola dalam penasehat tersebut.

Untuk mengurangi risiko menjadi korban serangan yang ditargetkan, peneliti Kaspersky merekomendasikan untuk menerapkan beberapa langkah keamanan. Ini termasuk menyediakan akses ke intelijen ancaman terbaru, meningkatkan keterampilan tim keamanan siber dengan pelatihan khusus, dan menerapkan solusi endpoint detection and response (EDR), antara lain.