Malware Xtreme RAT je zaměřen na USA, UK a další vlády

Podle nových údajů, které odhalily výzkumníci z Trend Micro, je však rozsah kampaně mnohem větší. > "Našli jsme dva e-maily zaslané od {BLOCKED}[email protected] dne 11. listopadu a 8. listopadu, které se primárně zaměřovaly na vládu Izraele," řekl výzkumník Trend Micro senior hrozby Nart Villeneuve na blogu, který začal tento týden. "Jeden z e-mailů byl odeslán na 294 e-mailových adres."

"Zatímco převážná většina e-mailů byla odeslána vládě Izraele na" mfa.gov.il "[izraelské ministerstvo zahraničních věcí]," idf. gov.il "[Izraelské obranné síly] a" mod.gov.il "[izraelské ministerstvo obrany], významná částka byla rovněž zaslána americké vládě na e-mailových adresách" state.gov "[ministerstvo zahraničí USA] "Řekl Villeneuve. "Další cíle vlády USA zahrnovaly také e-mailové adresy" senate.gov "(americký senát) a" house.gov "(USA). E-mail byl také zaslán e-mailové adrese" usaid.gov "[US Agency for International Development] adresy. "

Seznam cílů zahrnoval také e-mailové adresy" fco.gov.uk "(britský zahraniční a společný úřad) a e-mailové adresy" mfa.gov.tr ​​"(turecké ministerstvo zahraničí) instituce ve Slovinsku, Makedonii, na Novém Zélandu a v Lotyšsku. Některé nevládní organizace, jako BBC a Úřad zástupce kvarteta, byly rovněž zaměřeny.

Motivace nejasná

Výzkumníci společnosti Trend Micro použili metadata z dokumentů zabijáků k odhalení některých svých autorů na on-line fóru. Jeden z nich použil alias "aert", aby mluvil o různých malwarových aplikacích, včetně DarkComet a Xtreme RAT, nebo o výměně zboží a služeb s ostatními členy fóra, uvedl Villeneuve.

Motivace útočníků však zůstává nejasná. Pokud po Normanově zprávě někdo mohl spekulovat, že útočníci mají po posledních zjištěních společnosti Trend Micro politickou agendu svázanou s Izraelem a palestinskými územími. je těžší odhadnout, co je řídí. "" Jejich motivace jsou v tomto okamžiku poměrně nejasné poté, co jsme objevili tento nejnovější vývoj zaměřený na další státní organizace, "řekl Ivan Macalintal, senior výzkumník a bezpečnostní evangelista společnosti Trend Micro v pátek prostřednictvím e-mailu.

Trend Micro nepřevzal kontrolu nad servery příkazů a řízení (C & C), které používají útočníci, aby zjistili, jaké údaje jsou z napadených počítačů ukradeny, řekl výzkumník a dodal, že v tuto chvíli nejsou žádné plány.

Bezpečnostní společnosti někdy pracují s poskytovateli domény, aby uvedli názvy domén C & C, které používají útočníci, na adresy IP, které jsou pod jejich kontrolou. Tento proces je známý jako "sinkholing" a používá se k určení toho, kolik počítačů bylo infikováno určitou hrozbou a jaké informace tyto počítače odesílají zpět na řídicí servery.

"Kontaktovali jsme a pracujeme s CERT (počítačové týmy pro reakci na mimořádné situace) pro konkrétní postižené státy a uvidíme, zda došlo k nějakému poškození, "řekl Macalintal. "Stále ještě aktivně monitorujeme kampaň a aktualizujeme ji podle toho."