Die Weiterentwicklung des Bausatzes im Jahr 2019 und des Bausatzes drei Jahre später unterstreicht die wachsende Raffinesse der GoldenJackal-Entwickler. Die erste Generation bot eine umfassende Palette an Funktionen, darunter:
- GoldenDealer, eine Komponente, die bösartige ausführbare Dateien über USB-Laufwerke an Air-Gap-Systeme übermittelt
- GoldenHowl, eine Hintertür, die verschiedene Module für eine Mischung aus bösartigen Fähigkeiten enthält
- GoldenRobo, ein Aktensammler und Exfiltrator
Nur wenige Wochen nach der Bereitstellung des Kits im Jahr 2019 begann GoldenJackal laut ESET, andere Tools auf denselben kompromittierten Geräten zu verwenden. Zu den neueren Tools, die Kaspersky in seiner Studie aus dem Jahr 2023 dokumentierte, gehörten:
- Eine Hintertür, die unter dem Namen JackalControl verfolgt wird
- JackalSteal, ein Aktensammler und Exfiltrator
- JackalWorm wird verwendet, um andere JackalControl- und andere schädliche Komponenten über USB-Laufwerke zu verbreiten
Laut ESET nutzte GoldenJackal diese Tools bis in den Januar dieses Jahres hinein. Der grundlegende Ablauf des Angriffs besteht zunächst darin, ein mit dem Internet verbundenes Gerät auf eine Weise zu infizieren, die ESET und Kaspersky nicht ermitteln konnten. Als nächstes infiziert der infizierte Computer alle angeschlossenen externen Laufwerke. Wenn das infizierte Laufwerk an ein Air-Gap-System angeschlossen wird, sammelt und speichert es relevante Daten. Wenn das Laufwerk schließlich in das mit dem Internet verbundene Gerät eingesetzt wird, werden die Daten an einen vom Angreifer kontrollierten Server übertragen.
Eine bessere Falle bauen
Beim Angriff auf die Regierungsorganisation der Europäischen Union im Jahr 2022 begann GoldenJackal, ein neues benutzerdefiniertes Toolkit zu verwenden. Die neuere Version wurde in mehreren Programmiersprachen, darunter Go und Python, geschrieben und verfolgte einen viel spezielleren Ansatz. Es wies verschiedenen Arten infizierter Geräte unterschiedliche Aufgaben zu und stellte eine viel größere Anzahl von Modulen bereit, die je nach Angreiferobjekten für verschiedene Infektionen gemischt und angepasst werden konnten.
