近日，欧洲多个政府机构的机密系统遭到APT组织GoldenJackal的攻击，这些系统原本被认为是物理隔离的，难以被外部网络攻击。然而，GoldenJackal利用U盘等介质实施摆渡攻击，成功穿透了这些系统，窃取了大量敏感数据。

GoldenJackal是一个专注于政府和外交机构的APT组织，其主要目的是进行间谍活动。根据欧洲安全厂商ESET的报告，至少有两波重大事件与此有关。第一波发生在2019年9月和2021年7月，目标是某南亚国家驻白俄罗斯大使馆。第二波事件针对的是一个欧洲政府机构，具体发生在2022年5月至2024年3月之间。

GoldenJackal的攻击手段非常隐蔽，他们首先感染连接互联网的系统，可能是通过被植入木马的恶意软件或文档。在这个阶段，黑客使用了一种名为“GoldenDealer”的恶意软件。GoldenDealer监控这些系统上插入的USB驱动器。一旦检测到USB插入，它会自动将自身及其他恶意组件复制到USB设备上。最终，当同一USB设备被插入气隙隔离的计算机时，GoldenDealer就能够在隔离系统上安装“GoldenHowl”后门和“GoldenRobo”文件窃取器。

GoldenRobo会扫描系统中的文档、图像、证书、加密密钥、档案、OpenVPN配置文件等有价值的信息，并将其存储在USB驱动器的隐藏目录中。随后，当USB驱动器从气隙隔离的计算机中移除并重新连接到原先联网的系统时，GoldenDealer会自动将存储在驱动器上的窃取数据发送到威胁行为者的指挥与控制（C2）服务器。

“GoldenHowl”是一种多功能的Python后门，具备文件窃取、持久性维持、漏洞扫描以及直接与C2服务器通信的能力。ESET表示，这款工具似乎专为联网的机器设计。

从2022年开始，GoldenJackal使用了一套基于Go语言开发的新型模块化工具集，执行与之前类似的活动，但该工具集允许攻击者为不同的机器分配不同的角色。例如，一些机器专门用于文件外传，而另一些机器则作为文件的暂存点或配置分发节点。

感染USB设备的新恶意软件被命名为“GoldenAce”，而负责窃取文件并将其发送给攻击者的工具被分别称为“GoldenUsbCopy”和“GoldenUsbGo”，其中后者是前者的升级版本。GoldenUsbGo不再使用AES加密配置，而是根据硬编码指令外传文件，传输的文件包括最近14天内修改过的文件，且文件大小不得超过20 MB。除此之外，GoldenUsbGo还会筛选特定内容的文件，例如包含“pass”、“login”或“key”等关键词的文件，或某些文件类型（如.pdf、.doc/.docx、.sh、.bat等）。

另一个值得关注的恶意软件组件是“GoldenBlacklist”，其基于Python实现的版本名为“GoldenPyBlacklist”，该工具负责在文件外传之前过滤和归档特定的电子邮件信息。最后，GoldenMailer负责通过电子邮件将窃取的信息发送给攻击者，而GoldenDrive则用于将数据上传到Google Drive。

这些工具集与卡巴斯基报告中描述的部分工具有一定重叠，表明GoldenJackal具备开发新型自定义恶意软件的能力，并能持续优化这些工具以进行隐蔽的间谍活动。

对于这些工具的完整威胁指标（IoCs）列表，可参阅GitHub页面：https://github.com/eset/malware-ioc/tree/master/goldenjackal。

此次事件再次提醒我们，即使是最为严密的物理隔离系统，也可能存在被攻破的风险。政府和机构应加强对内部系统的监控和防护，确保敏感数据的安全。同时，对于APT组织的攻击手段，我们也需要不断更新防御策略，以应对日益复杂的网络安全威胁。

参考资料：

• https://www.bleepingcomputer.com/news/security/european-govt-air-gapped-systems-breached-using-custom-malware/
• https://www.secrss.com/articles/70996

[课程]Android-CTF解题方法汇总！