Xtreme RAT-Malware zielt auf USA, UK, andere Regierungen

] Die Hacker - Gruppe, die vor kurzem Computer der israelischen Polizei mit der Xtreme RAT - Malware infizierte, hat sich auch an Regierungsinstitutionen aus den USA, Großbritannien und Nordirland gewandt Andere Länder, so die Forscher des Antivirus-Anbieters Trend Micro.

Die Angreifer schickten Rogue-Nachrichten mit einem.RAR-Anhang an E-Mail-Adressen innerhalb der anvisierten Regierungsbehörden. Das Archiv enthielt eine bösartige ausführbare Datei, die als Word-Dokument getarnt war und bei deren Ausführung die Xtreme RAT-Malware installiert und ein Lockvogel-Dokument mit einem Nachrichtenbericht über einen palästinensischen Raketenangriff geöffnet hatte.

Der Angriff kam Ende Oktober ans Licht Die israelische Polizei schaltete ihr Computernetzwerk ab, um die Malware von ihren Systemen zu säubern. Wie die meisten Remote-Trojaner-Programme (RATs) ermöglicht Xtreme RAT Angreifern die Kontrolle über den infizierten Computer und ermöglicht ihnen das Hochladen von Dokumenten und anderen Dateien auf ihre Server.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Nach der Analyse von Malware-Proben, die bei dem israelischen Polizeiangriff verwendet wurden, entdeckten die Sicherheitsforscher des norwegischen Antiviren-Herstellers Norman eine Reihe älterer Angriffe von Anfang dieses Jahres und Ende 2011, die auf Organisationen in Israel und den palästinensischen Gebieten abzielten. Ihre Ergebnisse malten das Bild einer einjährigen Cyberspionage-Operation, die von der gleichen Gruppe von Angreifern in der Region durchgeführt wurde.

Neue Daten, die von Forschern von Trend Micro entdeckt wurden, lassen den Umfang der Kampagne jedoch viel größer erscheinen.

"Wir entdeckten am 11. und 8. November zwei E-Mails von {BLOCKED}[email protected], die in erster Linie die israelische Regierung betrafen", sagte Trend Micro Senior Threat Researcher Nart Villeneuve Anfang dieser Woche in einem Blogbeitrag. "Eine der E-Mails wurde an 294 E-Mail-Adressen gesendet."

"Während die überwiegende Mehrheit der E-Mails an die israelische Regierung unter 'mfa.gov.il' [israelisches Ministerium für auswärtige Angelegenheiten] geschickt wurde," idf. gov.il '[Israel Defence Forces], und' mod.gov.il '[israelisches Verteidigungsministerium], eine erhebliche Menge wurde auch an die US-Regierung an' State.gov '[US Department of State] E-Mail-Adressen gesendet, "Sagte Villeneuve. "Andere Ziele der US-Regierung umfassten auch die E-Mail-Adressen" senate.gov "[US-Senat] und" house.gov "[US-Repräsentantenhaus]. Die E-Mail wurde auch an die E-Mail" usaid.gov "[US-Agentur für internationale Entwicklung] gesendet Adressen. "

Die Liste der Ziele umfasste auch die E-Mail-Adressen" fco.gov.uk "(British Foreign & Commonwealth Office) und" mfa.gov.tr ​​"(türkisches Außenministerium) sowie Adressen von der Regierung Institutionen in Slowenien, Mazedonien, Neuseeland und Lettland, sagte der Forscher. Auch einige Nichtregierungsorganisationen wie die BBC und das Büro des Quartettvertreters wurden ins Visier genommen.

Motivationen unklar

Die Forscher von Trend Micro nutzten Metadaten aus den Decoy-Dokumenten, um einige ihrer Autoren zu einem Online-Forum aufzuspüren. Einer von ihnen benutzte den Alias ​​"aert", um über verschiedene Malware-Anwendungen wie DarkComet und Xtreme RAT zu sprechen oder um Waren und Dienstleistungen mit anderen Forumsmitgliedern auszutauschen, sagte Villeneuve.

Die Motivation der Angreifer bleibt jedoch unklar. Wenn man nach dem Norman-Bericht spekulieren könnte, dass die Angreifer nach den neuesten Erkenntnissen von Trend Micro eine politische Agenda haben, die an Israel und die palästinensischen Gebiete gebunden ist. es ist schwieriger zu erraten, was sie antreibt.

"Ihre Motivation ist zu diesem Zeitpunkt ziemlich unklar, nachdem sie diese neueste Entwicklung der Ausrichtung auf andere staatliche Organisationen entdeckt hat", sagte Ivan Macalintal, leitender Bedrohungsforscher und Sicherheitsevangelist bei Trend Micro, Freitag per E-Mail.

Trend Micro hat nicht die Kontrolle über die von den Angreifern genutzten C & C-Server übernommen, um zu ermitteln, welche Daten von den infizierten Computern gestohlen werden, sagte der Forscher und fügte hinzu, dass dies derzeit nicht geplant sei.

Sicherheitsunternehmen arbeiten manchmal mit Domänenanbietern zusammen, um C & C-Domänennamen, die von Angreifern verwendet werden, auf IP-Adressen zu verweisen, die sich unter ihrer Kontrolle befinden. Dieser Prozess wird als "sinkholing" bezeichnet und wird verwendet, um festzustellen, wie viele Computer mit einer bestimmten Bedrohung infiziert wurden und welche Art von Informationen diese Computer an die Kontrollserver zurücksenden.

"Wir haben kontaktiert und arbeiten mit dem CERTs [Computer Emergency Response Teams] für die betroffenen Staaten, und wir werden sehen, ob tatsächlich Schäden entstanden sind ", sagte Macalintal. "Wir überwachen die Kampagne ab sofort aktiv und veröffentlichen entsprechend Updates."