Xtreme RAT malware mål USA, Storbritannien, andre regeringer

Den hackergruppe, der for nylig inficerede israelske politimedier med Xtreme RAT malware, har også målrettet offentlige institutioner fra USA, Storbritannien og USA. andre lande, ifølge forskere fra antivirusleverandøren Trend Micro.

Angreberne sendte rogue-meddelelser med en.RAR-vedhæftning til e-mail-adresser inden for de målrettede regeringsorganer. Arkivet indeholdt en ondskabsfuld eksekverbar masquerading som et Word-dokument, der, da det blev kørt, installerede Xtreme RAT malware og åbnede et decoy-dokument med en nyhedsrapport om et palæstinensisk missilangreb.

Angrebet kom til lys i slutningen af ​​oktober, da Det israelske politi lukkede sit computernetværk for at rense malware fra sine systemer. Xtreme RAT giver ligesom de fleste fjernadgangs-trojanske programmer (RAT'er) angriberne kontrol over den inficerede maskine og giver dem mulighed for at uploade dokumenter og andre filer tilbage til deres servere.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Efter at have analyseret malware-prøver, der blev brugt i det israelske politiangreb, afslørede sikkerhedsforskere fra den norgebaserede antivirusleverandør Norman en række ældre angreb fra tidligere i år og slutningen af ​​2011, som målrettede organisationer i Israel og de palæstinensiske områder. Deres resultater malet billedet af en år lang cyberspionage operation udført af samme gruppe af angribere i regionen.

Men ifølge ny data, der er afdækket af forskere fra Trend Micro, ser kampagnens omfang sig meget større ud.

"Vi opdagede to e-mails sendt fra {BLOCKED}[email protected] den 11. november og 8. november, der primært målrettede Israels regering," siger Trend Micro senior trusselforsker Nart Villeneuve i et blogindlæg tidligere i ugen. "En af e-mailsne blev sendt til 294 e-mailadresser."

"Mens det store flertal af e-mailsne blev sendt til Israels regering på 'mfa.gov.il' [israelsk udenrigsministerium], 'idf. gov.il '[Israel Defense Forces] og' mod.gov.il '[Israels forsvarsministerium] blev der også sendt et betydeligt beløb til den amerikanske regering på' state.gov '[US Department of State] e-mailadresser, "Siger Villeneuve. "Andre amerikanske regeringsmål indbefattede også e-mailadresser til senatet.gov 'og' US.gov.` og 'house.gov' [US House of Representatives]. E-mailen blev også sendt til 'usaid.gov' [US Agency for International Development] e-mail adresser. "

Listen over mål omfattede også 'fco.gov.uk' (British Foreign and Commonwealth Office) og 'mfa.gov.tr' (tyrkiske udenrigsministeriet) e-mailadresser samt adresser fra regeringen institutioner i Slovenien, Makedonien, New Zealand og Letland, sagde forskeren. Nogle ikke-statslige organisationer som BBC og Quartet-repræsentantens kontor var også målrettede.

Motivationer uklare

Trend Micro-forskerne brugte metadata fra decoy-dokumenterne til at spore nogle af deres forfattere til et onlineforum. En af dem brugte aliaset "aert" til at tale om forskellige malware-applikationer, herunder DarkComet og Xtreme RAT, eller at udveksle varer og tjenester med andre forummedlemmer, siger Villeneuve.

Men motivationerne fra angriberne forbliver uklare. Hvis man efter Norman-rapporten måske kunne have spekuleret over, at angriberne har en politisk dagsorden bundet til Israel og de palæstinensiske områder efter Trend Micros seneste resultater. det er sværere at gætte, hvad der driver dem.

"Deres motivationer er ret uklare på dette tidspunkt efter at have opdaget denne seneste udvikling af målretning mod andre statslige organisationer," sagde Ivan Macalintal, senior trusselforsker og sikkerhedsevangelist hos Trend Micro, fredag ​​via e-mail.

Trend Micro har ikke taget kontrol over nogen kommando- og kontrol (C & C) -servere, der anvendes af angriberne for at bestemme, hvilke data der bliver stjålet fra de inficerede computere, siger forskeren og tilføjer, at der ikke er planer om at gøre det på nuværende tidspunkt.

Sikkerhedsvirksomheder arbejder nogle gange med domæneudbydere for at pege på C & C-domænenavne, der bruges af angriberne til IP-adresser under deres kontrol. Denne proces kaldes "sinkholing" og bruges til at bestemme, hvor mange computere der var inficeret med en bestemt trussel, og hvilken slags oplysninger disse computere sender tilbage til kontrolservere.

"Vi har kontaktet og arbejder sammen med CERTs [computer nødhjælpshold] for de berørte stater, og vi vil se, om der faktisk var nogen skade, "sagde Macalintal. "Vi overvåger stadig kampagnen fra og med nu og vil sende opdateringer i overensstemmelse hermed."