Xtreme RAT malware sasaran AS, UK, kerajaan lain

Kelompok peretas yang baru-baru ini mengesan komputer polisi Israel dengan malware Xtreme RAT juga telah menargetkan institusi pemerintah dari AS, UK, dan negara lain, menurut para penyelidik dari penjual antivirus Trend Micro.

Penyerang mengirim pesan penyangak dengan lampiran RAR. ke alamat e-mel dalam agensi pemerintah yang ditargetkan. Arkib mengandungi laku berniat jahat yang menyamar sebagai dokumen Word yang, apabila dijalankan, dipasang perisian malware Xtreme RAT dan membuka dokumen menipu dengan laporan berita tentang serangan peluru berpandu Palestin.

Serangan itu menyerlah pada akhir Oktober apabila polis Israel menutup rangkaian komputernya untuk membersihkan malware dari sistemnya. Seperti kebanyakan program Trojan akses jauh (RATs), Xtreme RAT memberikan penyerang mengendalikan mesin yang dijangkiti dan membolehkan mereka memuat naik dokumen dan fail lain ke pelayan mereka.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows] Selepas menganalisis sampel malware yang digunakan dalam serangan polis Israel, para penyelidik keselamatan dari penjual antivirus yang berpangkalan di Norway Norman menemui beberapa serangan yang lebih lama dari awal tahun ini dan akhir 2011 yang menjadi sasaran organisasi di Israel dan wilayah Palestin. Penemuan mereka melukis gambar operasi cyberpresa sepanjang tahun yang dilakukan oleh kumpulan penyerang yang sama di rantau ini.

Walau bagaimanapun, menurut data baru yang ditemui oleh penyelidik dari Trend Micro, skop kempen kelihatan lebih besar.

"Kami dapati dua e-mel yang dikirimkan dari {BLOCKED}[email protected] pada 11 Nov dan 8 Nov yang terutama ditujukan kepada Pemerintah Israel," kata penyelidik ancaman Trend Micro senior Nart Villeneuve, dalam posting blog awal pekan ini. "Salah satu emel yang dihantar kepada 294 alamat e-mel."

"Walaupun majoriti e-mel tersebut dihantar kepada Kerajaan Israel di 'mfa.gov.il' [Kementerian Luar Negeri Israel], 'idf. gov.il '[Angkatan Pertahanan Israel], dan' mod.gov.il '[Kementerian Pertahanan Israel], sejumlah besar juga dihantar kepada Kerajaan AS di alamat e-mel' state.gov '[Jabatan Negara AS] "Kata Villeneuve. "Target kerajaan AS lain juga termasuk 'e-mel' Senate.gov dan alamat e-mel 'house.gov'. E-mel juga dihantar ke e-mel 'usaid.gov' alamat.

Senarai sasaran juga termasuk 'fco.gov.uk' (Pejabat Luar Negeri & Komanwel Inggeris) dan alamat e-mel 'mfa.gov.tr' (Kementerian Luar Negeri Turki), serta alamat daripada kerajaan institusi di Slovenia, Macedonia, New Zealand, dan Latvia, kata penyelidik. Beberapa organisasi bukan kerajaan seperti BBC dan Pejabat Wakil Kuadrat juga telah disasarkan.

Motivasi tidak jelas

Penyelidik Trend Micro menggunakan metadata dari dokumen-dokumen jahat untuk mengesan beberapa pengarang mereka ke forum dalam talian. Salah satu daripada mereka menggunakan alias "aert" untuk membincangkan pelbagai aplikasi malware termasuk DarkComet dan Xtreme RAT atau untuk bertukar barang dan perkhidmatan dengan ahli forum lain, kata Villeneuve.

Walau bagaimanapun, motivasi penyerang masih tidak jelas. Jika selepas laporan Norman, seseorang mungkin membuat spekulasi bahawa penyerang mempunyai agenda politik yang terikat dengan Israel dan wilayah Palestin, selepas penemuan terkini Trend Micro.

"Motivasi mereka agak tidak jelas pada ketika ini setelah mengetahui perkembangan terkini penargetan organisasi negara lain," kata Ivan Macalintal, penyelidik ancaman senior dan penginjil keselamatan di Trend Micro, Jumaat melalui e-mel.

Trend Micro tidak mengambil kawalan terhadap mana-mana pelayan arahan dan kawalan (C & C) yang digunakan oleh penyerang untuk menentukan data yang dicuri dari komputer yang dijangkiti, kata penyelidik sambil menambah tidak ada rancangan untuk melakukannya pada masa ini.

Syarikat keselamatan kadangkala bekerjasama dengan pembekal domain untuk menunjukkan nama domain C & C yang digunakan oleh penyerang ke alamat IP di bawah kawalan mereka. Proses ini dikenali sebagai "sinkholing" dan digunakan untuk menentukan berapa banyak komputer yang dijangkiti dengan ancaman tertentu dan apa jenis maklumat komputer yang dihantar kembali ke pelayan kawalan.

"Kami telah dihubungi dan sedang bekerja dengan CERT [pasukan tindak balas kecemasan komputer] untuk negeri-negeri tertentu yang terjejas dan kami akan melihat jika ada kerosakan yang dilakukan, "kata Macalintal. "Kami masih aktif mengawasi kempen seperti sekarang dan akan menyiarkan kemas kini dengan sewajarnya."