Xtreme RAT malware pinupuntirya US, UK, iba pang mga pamahalaan

Ang grupo ng hacker na kamakailan nahawaan ng mga computer ng Israeli pulis na may Xtreme RAT malware ay naka-target din sa mga institusyon ng gobyerno mula sa US, UK, at ibang mga bansa, ayon sa mga mananaliksik mula sa antivirus vendor Trend Micro.

Ang mga attackers ay nagpadala ng mga pusong mensahe sa isang RAR attachment sa mga email address sa loob ng mga target na ahensya ng gobyerno. Ang archive ay naglalaman ng isang malisyosong executable masquerading bilang isang dokumento Word na, kapag tumakbo, na naka-install ang Xtreme RAT malware at binuksan ang isang decoy na dokumento na may isang ulat ng balita tungkol sa isang Palestinian misayl na atake.

Ang atake ay dumating sa liwanag sa katapusan ng Oktubre kapag pinigil ng pulisya ng Israel ang network ng computer nito upang linisin ang malware mula sa mga system nito. Tulad ng karamihan sa malayuang pag-access ng mga programang Trojan (RATs), ang Xtreme RAT ay nagbibigay ng kontrol sa attackers sa mga nahawaang makina at nagpapahintulot sa kanila na mag-upload ng mga dokumento at iba pang mga file pabalik sa kanilang mga server.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC] < Pagkatapos ng pag-aaral ng mga sample ng malware na ginamit sa pag-atake ng Israeli pulis, ang mga mananaliksik sa seguridad mula sa Norway na nakabatay sa antivirus vendor na si Norman ay nagbunyag ng isang serye ng mas lumang mga pag-atake mula sa mas maaga sa taong ito at huli na 2011 na naka-target na mga organisasyon sa Israel at ng mga teritoryong Palestino. Ang kanilang mga natuklasan ay pininturahan ang larawan ng isang taon na cyberespionage na operasyon na ginagawa ng parehong grupo ng mga attackers sa rehiyon.

Gayunpaman, ayon sa bagong data na natuklasan ng mga mananaliksik mula sa Trend Micro, ang saklaw ng kampanya ay lumilitaw na mas malaki. > "Natuklasan namin ang dalawang email na ipinadala mula sa {BLOCKED }[email protected] noong Nobyembre 11 at Nobyembre 8 na pangunahing naka-target sa Gobyerno ng Israel," Sinabi ni Trend Micro senior na pananaliksik na si Nart Villeneuve sa isang blog post nang mas maaga sa linggong ito. "Ang isa sa mga email ay ipinadala sa 294 email address."

"Habang ang karamihan ng mga email ay ipinadala sa Gobyerno ng Israel sa 'mfa.gov.il' [Israeli Ministry of Foreign Affairs], 'idf. gov.il '[Israel Defense Forces], at' mod.gov.il '[Ministri ng Depensa ng Israel], isang malaking halaga ang ipinadala sa Gobyerno ng US sa mga email address ng' state.gov 'ng US Department of State. "Sabi ni Villeneuve. "Ang iba pang mga target na gobyerno ng Estados Unidos ay kasama rin ang 'senate.gov' [US Senado] at 'house.gov' [US House of Representatives] na mga email address. Ang email ay din naipadala sa 'usaid.gov' [US Agency for International Development] na email kabilang ang mga listahan ng mga target na 'fco.gov.uk' (British Foreign & Commonwealth Office) at 'mfa.gov.tr' (Turkish Ministry of Foreign Affairs) mga email address, gayundin ang mga address mula sa pamahalaan institusyon sa Slovenia, Macedonia, New Zealand, at Latvia, sinabi ng researcher. Ang ilang mga non-governmental na organisasyon tulad ng BBC at ang Opisina ng Quartet Representative, ay naka-target din.

Ang mga motibo ay hindi malinaw

Ang mga mananaliksik ng Trend Micro ay gumagamit ng metadata mula sa mga dokumentong pangit upang masubaybayan ang ilan sa kanilang mga may-akda sa isang online na forum. Ginamit ng isa sa kanila ang alias "aert" upang pag-usapan ang iba't ibang mga application ng malware kabilang ang DarkComet at Xtreme RAT o upang makipagpalitan ng mga kalakal at serbisyo sa iba pang mga miyembro ng forum, sinabi ni Villeneuve.

Gayunpaman, ang mga motibo ng mga sumalakay ay hindi maliwanag. Kung, pagkatapos ng ulat ng Norman, maaaring isaalang-alang ng isa na ang mga sumalakay ay may pampulitikang adyenda na nakatali sa Israel at sa mga teritoryong Palestino, pagkatapos ng mga pinakabagong natuklasan ni Trend Micro.

"Ang kanilang mga motibo ay hindi malinaw sa puntong ito matapos matuklasan ang pinakahuling pag-unlad ng pag-target sa ibang mga organisasyon ng estado," sabi ni Ivan Macalintal, senior researcher ng pagbabanta at security evangelist sa Trend Micro, Biyernes sa pamamagitan ng email.

Ang Trend Micro ay hindi nagkontrol sa anumang mga server ng command at control (C & C) na ginagamit ng mga attackers upang matukoy kung anong data ang ninakaw mula sa mga nahawaang computer, sinabi ng researcher, na idinagdag na walang mga plano na gawin ito sa oras na ito.

Kung minsan ang mga kompanya ng seguridad ay nagtatrabaho sa mga provider ng domain upang ituro ang mga pangalan ng domain ng C & C na ginamit ng mga attackers sa mga IP address sa ilalim ng kanilang kontrol. Ang prosesong ito ay kilala bilang "sinkholing" at ginagamit upang matukoy kung gaano karaming mga computer ang nahawahan ng isang partikular na pagbabanta at kung anong uri ng impormasyon ang mga computer na ipinapadala pabalik sa mga server ng control.

"Nakipag-ugnay kami at nakikipagtulungan sa Ang mga CERT [mga koponan sa pagtugon sa emerhensiya sa computer] para sa partikular na mga estado na apektado at makikita natin kung may anumang pinsala, "sabi ni Macalintal. "Aktibo pa rin namin ang pagsubaybay sa kampanya sa ngayon at mag-post ng mga update nang naaayon."