Вредоносная программа Xtreme RAT нацелена на США, Великобританию и другие правительства

Группа хакеров, которая недавно заразила компьютеры израильской полиции с помощью вредоносного ПО Xtreme RAT, также нацелила правительственные учреждения из США, Великобритании и в других странах, сообщают исследователи из антивирусного поставщика Trend Micro.

Нападавшие отправили сообщения с изгоями с прикреплением.RAR к адресам электронной почты в целевых государственных учреждениях. В архиве содержался вредоносный исполняемый файл, замаскировавшийся как документ Word, который при запуске установил вредоносное ПО Xtreme RAT и открыл документ с приманкой с новостным сообщением об атаке палестинского ракетного оружия.

Атака обнаружилась в конце октября, когда израильская полиция закрыла свою компьютерную сеть, чтобы очистить вредоносное ПО от своих систем. Как и большинство программ удаленного доступа удаленного доступа (RAT), Xtreme RAT предоставляет злоумышленникам контроль над зараженной машиной и позволяет им загружать документы и другие файлы на свои серверы.

[Подробнее: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

После анализа образцов вредоносных программ, используемых в нападении израильской полиции, исследователи безопасности из норвежского поставщика антикоррупционных норманнов Норман обнаружили серию более старых атак с начала этого года и конца 2011 года, направленных на организации организаций в Израиле и на палестинских территориях. Их результаты нарисовали картину многолетней операции по киберинизации, проведенной той же группой нападавших в регионе.

Однако, согласно новым данным, обнаруженным исследователями Trend Micro, масштабы кампании, по-видимому, намного больше.

«Мы обнаружили два письма, отправленные с {BLOCKED}[email protected], 11 ноября и 8 ноября, которые в основном предназначались для правительства Израиля», - сказал старший исследователь угроз Trend Micro Нарт Вильнёв в сообщении в блоге ранее на этой неделе. «Одно из писем было отправлено на 294 адреса электронной почты».

«Хотя подавляющее большинство писем было отправлено правительству Израиля в« mfa.gov.il »[израильское министерство иностранных дел],« idf. gov.il '[израильские силы обороны] и «mod.gov.il» [израильское министерство обороны], значительная сумма была также отправлена ​​правительству США на адресные адреса штата «State.gov» [US Department of State] - сказал Вильнев. «Другие цели правительства США также включали адреса электронной почты« senate.gov »[US Senate] и« house.gov »[US House of Representatives]. Письмо также было отправлено в электронное письмо« usaid.gov »[Агентство США по международному развитию] адреса ».

В список целей также включены« fco.gov.uk »(британское министерство иностранных дел и по делам Содружества) и« mfa.gov.tr ​​»(турецкие министерства иностранных дел), а также адреса от правительства учреждений в Словении, Македонии, Новой Зеландии и Латвии, сказал исследователь. Некоторые неправительственные организации, такие как Би-би-си и Канцелярия Представителя «четверки», также были целенаправленными.

Мотивация неясна

Исследователи Trend Micro использовали метаданные из документов приманки, чтобы отследить некоторых своих авторов на онлайн-форуме. Один из них использовал псевдоним «aert», чтобы поговорить о различных вредоносных программах, включая DarkComet и Xtreme RAT, или обмениваться товарами и услугами с другими участниками форума, сказал Вильнёв.

Однако мотивы нападавших остаются неясными. Если после доклада Нормана можно было бы предположить, что нападавшие имеют политическую повестку дня, связанную с Израилем и палестинскими территориями, после последних выводов Trend Micro. сложнее угадать, что их движет.

«Их мотивация сейчас неясна после обнаружения этой последней разработки ориентации на другие государственные организации», - сказал Иван Макалинт, старший аналитик по угрозам и еженедельник по безопасности в Trend Micro в пятницу по электронной почте.

Trend Micro не взял под контроль какие-либо серверы управления и управления (C & C), используемые злоумышленниками, чтобы определить, какие данные украдены с зараженных компьютеров, сказал исследователь, добавив, что в настоящее время нет планов сделать это.

Компании безопасности иногда работают с поставщиками доменов, чтобы указать доменные имена C & C, используемые злоумышленниками, на IP-адреса под их контролем. Этот процесс известен как «заглушка» и используется для определения того, сколько компьютеров было заражено определенной угрозой, и какую информацию эти компьютеры отправляют обратно на серверы управления.

«Мы связались и работаем с CERT [компьютерные команды аварийного реагирования] для конкретных пострадавших государств, и мы увидим, действительно ли был нанесен какой-либо ущерб », - сказал Макалинталь. «Мы по-прежнему активно наблюдаем за кампанией и теперь публикуем обновления».