来源:GoldenJackal APT and its malicious toolset | Securelist
在近年来的网络威胁格局中,多数高级持续性威胁(APT)组织倾向于通过高调攻击或大规模传播来彰显存在。然而,有一类攻击者却反其道而行之——他们长期潜伏、目标精准、手法隐蔽。近期,卡巴斯基实验室披露了一个名为 GoldenJackal 的未知APT组织,其活动自2019年6月起持续至今,却始终未被公开曝光。
该组织主要针对中东与南亚地区的政府机构、外交实体展开定向攻击,其攻击工具链几乎全部基于 .NET平台开发,展现出高度一致的技术特征。本文将基于公开情报,对该组织的攻击模式、核心工具及防御策略进行系统性梳理。
攻击画像:以.NET为武器的隐蔽间谍
GoldenJackal并非追求大规模感染的网络犯罪团伙,而是一个典型的国家级间谍组织。其攻击动机明确指向情报窃取,包括系统信息、用户行为、文件内容乃至屏幕画面。
尽管该组织已活跃多年,但其样本在公开渠道极为罕见,且攻击目标数量极少,这种“低曝光、高精度”的策略,极可能是为了保护其攻击框架不被安全厂商快速识别与封禁。
入侵路径:从钓鱼文档到横向移动
目前对GoldenJackal初始攻击向量的掌握有限,但已有证据表明其使用了以下两种主要方式:
1. 伪装Skype安装包
攻击者曾使用一个名为 skype32.exe 的恶意可执行文件作为投递载体。该文件体积高达400MB,实为一个“合法Skype商业版安装程序”与恶意载荷的捆绑包。一旦运行,便会释放其核心后门程序 JackalControl。
2. 利用Follina漏洞的恶意文档
2022年6月初,研究人员捕获到一份名为《荣获国内外奖项军官名录》的Word文档。该文档利用“远程模板注入”技术,诱导系统从一个被攻陷的巴基斯坦开发者网站加载恶意HTML页面。
hxxps://www.pak-developers[.]net/internal_data/templates/template.html该页面嵌入了对 Follina漏洞(CVE-2022-30190) 的利用代码,仅需文档打开即可触发。攻击者将公开的漏洞利用代码(PoC)修改后,用于下载并执行位于 %Temp%\GoogleUpdateSetup.exe 的JackalControl后门。
值得注意的是,该文档的修改时间(6月1日)仅比Follina漏洞公开披露(5月29日)晚两天,显示出攻击者极强的响应能力。
3. 横向移动中的命令行痕迹
在部分案例中,研究人员并未发现初始感染入口,而是通过系统日志发现攻击者已通过 PsExec 工具实现横向移动。其执行的批处理脚本(install.bat)包含以下典型行为:
安装.NET Framework 4
部署JackalControl后门
收集系统信息(如DNS缓存、代理设置、进程列表等)
此类行为表明,GoldenJackal具备成熟的内网渗透能力。
核心工具链:模块化.NET恶意组件
GoldenJackal的攻击框架由多个.NET编写的模块化组件构成,各司其职,协同作战。
JackalControl:主控后门
这是整个攻击体系的核心远程控制木马,支持通过HTTPS与C2服务器通信,执行以下指令:
执行任意命令
下载/上传文件
持久化驻留
其运行参数决定行为模式,例如:
/0:作为普通进程运行,仅连接一次C2/1:作为服务运行,实现持久化/h0~h2:分别通过计划任务、注册表或服务实现驻留
该木马通过收集设备UUID、机器GUID、硬盘序列号等信息生成唯一的 BOT_ID,并以此作为DES加密密钥,保护通信安全。
C2通信特征:
使用伪装的WordPress路径(如
/wp-includes/class-wp-network-statistics.php)POST请求携带加密数据
服务器响应以
<!-- DEBUGDATA::%ENCODED_DATA% -->格式返回指令
JackalSteal:定向文件窃取
该组件用于在少数高价值目标上部署,专门搜索并窃取特定类型的敏感文件,包括:
.doc,.docx,.pdf,.xls,.xlsx图像文件(
.jpg,.png,.tiff)浏览器数据(书签、历史、登录凭证)
它支持监控本地磁盘、U盘及网络共享,并通过AES+GZIP加密后上传。其配置文件中包含一个与JackalControl相同的 BOT_ID,表明两者属于同一攻击框架。
JackalWorm:U盘蠕虫传播
该蠕虫专用于通过可移动存储设备进行横向传播。其行为极具欺骗性:
当U盘插入时,自动复制自身
隐藏原目录,并以同名可执行文件替代(如
Folder1.exe)使用伪装成文件夹图标的图标诱导用户点击
更值得注意的是,该组件仍在开发中。研究人员在其资源中发现了未使用的测试代码,例如:
<Resource type="process" file="cmd.exe" args="/c echo TEST > %USERPROFILE%\Desktop\test.txt" />这表明攻击者可能正在测试新功能,也暗示该工具未来可能更具破坏性。
JackalPerInfo:系统信息采集器
该工具用于全面收集受害者系统信息,包括:
主机名、操作系统、域信息
网络接口与IP地址
已安装软件与运行进程
用户桌面、文档、下载目录中的
.txt文件浏览器数据(Chrome、Firefox、Opera 的 Cookies、历史、登录凭证)
所有信息经GZIP压缩后,保存为二进制文件,供后续窃取。
JackalScreenWatcher:桌面监控
该组件定期截取受害者屏幕画面,并通过加密通道上传至C2服务器。其判断“用户活跃”的方式极为简单:监测鼠标光标位置是否变化。
一旦检测到活动,立即截图并上传。其C2地址与JackalSteal共用,进一步证明这些工具属于同一平台。
基础设施:利用被黑WordPress站点作跳板
GoldenJackal并未使用自建C2服务器,而是大量利用被攻陷的WordPress网站作为代理中继。
这些网站多运行过时版本的WordPress,部分曾被其他黑客组织植入WebShell。攻击者上传恶意PHP文件,伪装成正常插件或主题文件(如 plugins.php、cache.php),用于转发命令与数据。
典型C2路径:
hxxps://finasteridehair[.]com/wp-includes/class-wp-network-statistics.php
hxxps://tahaherbal[.]ir/wp-includes/class-wp-http-iwr-client.php服务器响应通常返回一个伪造的“404 Not Found”页面,但在特定情况下,会在页面末尾附加加密指令,实现隐蔽通信。
受害者分布与归因分析
目前已知的受害者分布在以下国家:
阿富汗
阿塞拜疆
伊朗
伊拉克
巴基斯坦
土耳其
尽管研究人员在技术细节上发现了与 Turla 组织的相似之处(如BOT_ID生成算法、使用.NET、劫持WordPress站点),但尚无法确认两者存在直接关联。
可能的解释包括:
代码复用或模仿
故意设置“假旗”误导调查
开发者受Turla技术启发
因此,目前仍将其视为一个独立的未知威胁实体。
检测与防御建议
指标(IoCs)自查
可通过以下方式排查是否受感染:
已知恶意文件MD5:
JackalControl: 8c1070f188ae87fba1148a3d791f2523
JackalSteal: c05999b9390a3d8f4086f6074a592bc2
JackalWorm: 5de309466b2163958c2e12c7b02d8384
C2域名(请检查DNS日志):
finasteridehair.com
tahaherbal.ir
winoptimum.com
pabalochistan.gov.pk
...
分发站点:
hxxps://www.pak-developers.net/internal_data/templates/template.html防御措施
禁用Office宏与远程模板,防范Follina类漏洞。
限制可移动设备使用,防止JackalWorm传播。
监控异常计划任务与服务创建,尤其是名称伪装为系统组件的项目。
检查WordPress站点是否被植入可疑PHP文件。
部署EDR解决方案,监控.NET进程的异常行为(如内存加载、反射注入)。
总结
GoldenJackal的出现提醒我们:最危险的威胁,往往是最安静的那个。它不追求轰动效应,而是以极低的频率、极高的精度,长期潜伏于高价值目标之中。
其全.NET技术栈、模块化设计、持续更新的工具链,显示出背后有专业团队支持。而其对Follina漏洞的快速利用,更凸显其情报获取能力之强。
对于政府、外交及关键基础设施单位而言,必须将此类“低可见性APT”纳入威胁模型,加强终端检测、日志审计与应急响应能力。