Настройка Xtreme Rat 3.6
Innehållsförteckning:
Hackerkoncernen som nyligen infekterade israeliska polisdatorer med Xtreme RAT-malware har också riktat till statliga institutioner från USA, Storbritannien och andra länder, enligt forskare från antivirusleverantör Trend Micro.
Anfallarna skickade skurkmeddelanden med en.RAR-bilaga till e-postadresser inom de riktade myndigheterna. Arkivet innehöll en skadlig exekverbar masquerading som ett Word-dokument som, när det körde, installerade Xtreme RAT-malware och öppnade ett avfallsdokument med en nyhetsrapport om en palestinsk missilattack.
Anfallet kom fram i slutet av oktober när Den israeliska polisen stängde av sitt datanät för att rengöra malware från sina system. Xtreme RAT ger, liksom de flesta fjärråtkomst-trojanska program (RAT), angripare kontroll över den infekterade maskinen och låter dem ladda upp dokument och andra filer tillbaka till sina servrar.
[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]Efter att ha analyserat malwareprover som användes i den israeliska polisattacken, upptäckte säkerhetsforskare från den norgebaserade antivirusleverantören Norman en serie äldre attacker från tidigare i år och slutet av 2011 som riktade organisationer i Israel och de palestinska territorierna. Deras resultat har målat bilden av en årslång cyberspionage-operation som utförs av samma grupp av angripare i regionen.
Men enligt nya data som upptäckts av forskare från Trend Micro verkar kampanjens omfattning vara mycket större.
"Vi upptäckte två e-postmeddelanden skickade från {BLOCKED}[email protected] den 11 november och 8 november som främst riktade Israels regering, säger Trend Micro senior hotforskare Nart Villeneuve, i en bloggpost tidigare i veckan. "En av e-postmeddelandena skickades till 294 e-postadresser."
"Medan den stora delen av e-postmeddelandena skickades till Israels regering på" mfa.gov.il "[israeliska utrikesdepartementet]," idf. gov.il "och" mod.gov.il "[israeliska försvarsdepartementet] skickades också en betydande del till den amerikanska regeringen på e-postadresserna" state.gov "[US Department of State] "Sade Villeneuve. "Andra amerikanska regeringens mål innehöll även e-postadresser för senat.gov" och "US Senate" och "house.gov" [US House of Representatives]. Emailen skickades också till "usaid.gov" [US Agency for International Development] e-post adresser. "
I listan över mål ingår också" fco.gov.uk "(British Foreign and Commonwealth Office) och" mfa.gov.tr "(turkiska utrikesdepartementets) e-postadresser samt adresser från regeringen institutioner i Slovenien, Makedonien, Nya Zeeland och Lettland, sa forskaren. Några icke-statliga organisationer som BBC och kvartettrepresentantens kontor riktades också in.
Motivationer oklara
Trend Micro-forskarna använde metadata från deckade dokumenten för att spåra några av sina författare till ett onlineforum. En av dem använde aliaset "aert" för att prata om olika malware-applikationer, inklusive DarkComet och Xtreme RAT, eller att utbyta varor och tjänster med andra forummedlemmar, säger Villeneuve.
Anfallarnas motivation är dock oklart. Om man efter det normaniska betänkandet kan ha spekulerat att angriparna har en politisk agenda knuten till Israel och de palestinska territorierna, efter Trend Micros senaste resultat. Det är svårare att gissa vad som driver dem.
"Deras motivation är ganska oklart vid denna tidpunkt efter att ha upptäckt den senaste utvecklingen av inriktning mot andra statliga organisationer", säger Ivan Macalintal, senior hotforskare och säkerhetsevangelist vid Trend Micro, fredag via e-post.
Trend Micro har inte tagit kontroll över några kommandon och kontroll (C & C) servrar som används av attackerna för att avgöra vilken data som stulits från de infekterade datorerna, sa forskaren och tillade att det inte finns några planer på att göra det just nu.
Säkerhetsföretag arbetar ibland med domänleverantörer för att peka C & C-domännamn som används av angripare till IP-adresser under deras kontroll. Denna process kallas "sinkholing" och används för att bestämma hur många datorer som smittats med ett särskilt hot och vilken typ av information dessa datorer skickar tillbaka till kontrollservrarna.
"Vi har kontaktat och arbetar med CERTs [dator nödsituation lag] för de berörda staterna drabbade och vi ska se om det verkligen skedde skada, "Macalintal sagt. "Vi övervakar fortfarande kampanjen från och med nu och kommer efter uppdateringar i enlighet med detta."
Andra kvartalet slutade officiellt den 30 juni med tekniklagret som ledde alla andra. Frågan är, efter en stark andra kvartalet, var går de härifrån? Vissa analytiker förutspår ett dopp under de närmaste månaderna, eftersom människor undviker att köpa nya datorer och väljer att istället vänta till slutet av oktober när de kan köpa datorer med Microsofts nya operativsystem, Windows 7.
Nasdaq Composite Index ökade med 20 procent under andra kvartalet att stänga vid 1835.04 den 30 juni och slog Dow Jones Industrial Average och Standard & Poor's 500 Index, vilket var 11 procent respektive 15 procent. Nasdaq är också upp 16,4 procent hittills i år, medan Dow är 3,8 procent och S & P 500 upp 1,8 procent.
Rapporten är en påminnelse om att kinesiska regeringar och militära organ, ofta anklagade för cyberspionage mot USA och andra länder, attackeras också ofta online.
Den kinesiska försvarsministeriets webbplats har varit under "non-stop" -attack sedan den lanserades i augusti som en gest av öppenhet, sade People's Daily, det officiella papperet om Kinas beslut Kommunistparty, citerar webbplatsens huvudredaktör. Både invasiva och "jamming" -attacker har riktat platsen och kommit in i högre volym vid tider av större militära händelser, berättar rapporten.
Hacker kollektiva Anonyma träffar USA: s webbplats för regeringar
Webbplatsen för den amerikanska dömande kommissionen, som fastställer dömningsregler för federala domstolssystemet, var offline för mycket av Lördag till följd av attacken.