Car-tech

Xtreme RAT malware mål USA, Storbritannia, andre regjeringer

Xtreme Rat 2 8 + Download

Xtreme Rat 2 8 + Download

Innholdsfortegnelse:

Anonim

Hackergruppen som nylig infiserte israelske politimaskiner med Xtreme RAT malware har også målrettet regjeringsinstitusjoner fra USA, Storbritannia og Andre land, ifølge forskere fra antivirusleverandøren Trend Micro.

Angriperne sendte rogue meldinger med.RAR vedlegg til e-postadresser i de målrettede myndighetene. Arkivet inneholdt en skadelig kjørbar masquerading som et Word-dokument som, da det kjørte, installerte Xtreme RAT-malware og åpnet et decoy-dokument med en nyhetsrapport om et palestinsk missilangrep.

Angrepet ble avslørt i slutten av oktober da Den israelske politiet slår av sitt datanettverk for å rense malware fra sine systemer. Xtreme RAT gir, i likhet med de fleste ekstern tilgangs-trojanprogrammer (RAT), angripere kontroll over den infiserte maskinen og tillater dem å laste opp dokumenter og andre filer tilbake til sine servere.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Etter å ha analysert malwareprøver som ble brukt i det israelske politi-angrepet, oppdaget sikkerhetsforskere fra Norge-basert antivirusleverandør Norman en serie eldre angrep fra tidligere i år og slutten av 2011 som målrettet organisasjoner i Israel og de palestinske territoriene. Deres funn malte bildet av en år lang cyberspionage-operasjon utført av samme gruppe angripere i regionen.

Men ifølge ny data som ble avslørt av forskere fra Trend Micro, ser kampanjens omfang ut til å være mye større.

"Vi oppdaget to e-postmeldinger sendt fra {BLOCKED}[email protected] 11. november og 8. november som først og fremst rettet mot Israels regjering, sier Trend Micro senior trusselforsker Nart Villeneuve, i et blogginnlegg tidligere denne uken. "En av e-postene ble sendt til 294 e-postadresser."

"Mens det store flertallet av e-postene ble sendt til Israels regjering på" mfa.gov.il "[Israeli utenriksdepartementet]," idf. gov.il '[Israels forsvarsstyrker] og' mod.gov.il '[Israels forsvarsdepartement], ble også en betydelig mengde sendt til USAs regjering på' state.gov '[US Department of State] e-postadresser, "Sa Villeneuve. "Andre amerikanske regjeringsmål inneholdt også e-postadresser for senatet.gov '[US Senate] og' house.gov '[US House of Representatives]. E-posten ble også sendt til' usaid.gov ' adresser. "

Mållisten inkluderer også 'fco.gov.uk' (British Foreign & Commonwealth Office) og 'mfa.gov.tr' (e-postadresser for tyrkisk utenriksdepartement), samt adresser fra regjeringen institusjoner i Slovenia, Makedonia, New Zealand og Latvia, sa forskeren. Noen ikke-statlige organisasjoner som BBC og Kvartettrepresentantens kontor ble også målrettet.

Motivasjoner uklare

Trend Micro-forskerne brukte metadata fra dekoderdokumentene for å spore opp noen av deres forfattere til et forum på nettet. En av dem brukte aliaset "aert" for å snakke om ulike malware-applikasjoner, inkludert DarkComet og Xtreme RAT, eller å bytte varer og tjenester med andre forummedlemmer, sier Villeneuve.

Begrunnelsene til angriperne forblir imidlertid uklare. Hvis man etter normanrapporten kunne ha spekulert om at angriperne har en politisk agenda knyttet til Israel og de palestinske territoriene, etter Trend Micros siste funn. Det er vanskeligere å gjette hva som driver dem.

"Deres motivasjoner er ganske uklare på dette punktet etter å ha oppdaget denne siste utviklingen av å målrette andre statslige organisasjoner," sa Ivan Macalintal, senior trusselforsker og sikkerhetsevangelist ved Trend Micro, fredag ​​via e-post.

Trend Micro har ikke tatt kontroll over kommandoer og kontroll (C & C) -servere som brukes av angriperne for å avgjøre hvilke data som blir stjålet fra de infiserte datamaskinene, sa forskeren og la til at det ikke er planer om å gjøre det nå.

Sikkerhetsfirmaer jobber noen ganger med domeneleverandører for å peke C & C-domenenavn brukt av angripere til IP-adresser under deres kontroll. Denne prosessen er kjent som "sinkholing" og brukes til å bestemme hvor mange datamaskiner som var infisert med en bestemt trussel og hvilken type informasjon disse datamaskinene sender tilbake til kontrollserverne.

"Vi har kontaktet og jobber med CERTs [datamaskinens beredskapsteam] for de aktuelle delene som er berørt, og vi vil se om det faktisk var noen skade gjort, sa Macalintal. "Vi overvåker fortsatt kampanjen fra nå og vil legge oppdateringer tilsvarende."