Xtreme RAT malware targeting US، UK، other government

قامت مجموعة المتسللين التي أحدثت إصابة أجهزة الكمبيوتر التابعة للشرطة الإسرائيلية مع برنامج Xtreme RAT الخبيث باستهداف المؤسسات الحكومية من الولايات المتحدة والمملكة المتحدة بلدان أخرى ، وفقا لباحثين من بائع مضاد الفيروسات تريند مايكرو.

أرسل المهاجمون رسائل مارقة مع ملحق.RAR إلى عناوين البريد الإلكتروني داخل الوكالات الحكومية المستهدفة. احتوى الأرشيف على تزييف خبيث قابل للتنفيذ كوثيقة Word التي ، عند تشغيله ، قام بتثبيت البرنامج الضار Xtreme RAT وفتح مستند فك مع تقرير إخباري عن هجوم صاروخي فلسطيني.

تم الكشف عن الهجوم في نهاية أكتوبر عندما قامت الشرطة الإسرائيلية بإغلاق شبكة الكمبيوتر الخاصة بها من أجل تنظيف البرامج الضارة من أنظمتها. مثل معظم برامج الوصول عن بُعد (RATs) عن بُعد ، يعطي Xtreme RAT المهاجمين السيطرة على الجهاز المصاب ويسمح لهم بتحميل المستندات والملفات الأخرى مرة أخرى إلى خوادمهم.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows الخاص بك]

بعد تحليل عينات البرمجيات الخبيثة المستخدمة في هجوم الشرطة الإسرائيلية ، كشف باحثون أمنيون من شركة نورمان لمكافحة الفيروسات ومقرها النرويج عن سلسلة من الهجمات القديمة من أوائل هذا العام وأواخر عام 2011 استهدفت منظمات في إسرائيل والأراضي الفلسطينية. رسمت النتائج التي توصلوا إليها صورة عملية التجسس على الإنترنت التي استمرت لمدة عام والتي أجرتها نفس المجموعة من المهاجمين في المنطقة.

ومع ذلك ، ووفقًا للبيانات الجديدة التي كشف عنها باحثون من تريند مايكرو ، يبدو أن نطاق الحملة أكبر بكثير. "لقد اكتشفنا رسالتين إلكترونيتين تم إرسالهما من {BLOCKED}[email protected] في 11 نوفمبر و 8 نوفمبر واستهدفت الحكومة الإسرائيلية في المقام الأول" ، هذا ما قاله الباحث في شؤون التهديد في تريند مايكرو ، نارت فيلنوف ، في إحدى المدونات في وقت سابق من هذا الأسبوع. "تم إرسال إحدى رسائل البريد الإلكتروني إلى 294 عنوان بريد إلكتروني."

"بينما تم إرسال الغالبية العظمى من رسائل البريد الإلكتروني إلى حكومة إسرائيل في" mfa.gov.il "[وزارة الخارجية الإسرائيلية] ،" idf. gov.il "[جيش الدفاع الإسرائيلي] ، و" mod.gov.il "[وزارة الدفاع الإسرائيلية] ، تم إرسال مبلغ كبير أيضًا إلى الحكومة الأمريكية في عناوين البريد الإلكتروني" state.gov "[وزارة الخارجية الأمريكية] ، "قال فيلنوف. "وشملت أهداف الحكومة الأمريكية الأخرى أيضًا عناوين البريد الإلكتروني" مجلس الشيوخ الأمريكي "و" house.gov "[مجلس النواب الأمريكي]. كما تم إرسال الرسالة الإلكترونية إلى" usaid.gov "[الوكالة الأمريكية للتنمية الدولية] عناوين ".

تضمنت قائمة الأهداف أيضًا عناوين البريد الإلكتروني" fco.gov.uk "(وزارة الخارجية البريطانية والكومنولث) و" mfa.gov.tr ​​"(وزارة الخارجية التركية) ، بالإضافة إلى عناوين من الحكومة المؤسسات في سلوفينيا ومقدونيا ونيوزيلندا ولاتفيا ، وقال الباحث. كما تم استهداف بعض المنظمات غير الحكومية مثل هيئة الإذاعة البريطانية ومكتب ممثل اللجنة الرباعية.

الحوافز غير واضحة

استخدم الباحثون تريند مايكرو بيانات وصفية من مستندات الطرائد لتعقب بعض مؤلفيهم إلى منتدى عبر الإنترنت. واستخدم أحدهم الاسم المستعار "aert" للحديث عن مختلف التطبيقات الضارة بما في ذلك DarkComet و Xtreme RAT أو لتبادل السلع والخدمات مع أعضاء المنتدى الآخرين.

لكن ، لا تزال دوافع المهاجمين غير واضحة. إذا توقع المرء ، بعد تقرير نورمان ، أن المهاجمين لديهم أجندة سياسية مرتبطة بإسرائيل والأراضي الفلسطينية ، بعد آخر نتائج تريند مايكرو. "من الصعب تخمين ما يدفعهم.

" دوافعهم غير واضحة تماما في هذه المرحلة بعد اكتشاف هذا التطور الأخير لاستهداف منظمات الدولة الأخرى ، "قال إيفان ماكالنتال ، باحث التهديد الكبير ومبشر الأمن في تريند مايكرو ، الجمعة عبر البريد الإلكتروني.

وقال الباحث إن تريند مايكرو لم تسيطر على أي خوادم للتحكم والمراقبة (C & C) يستخدمها المهاجمون من أجل تحديد البيانات التي يتم سرقتها من أجهزة الكمبيوتر المصابة ، مضيفًا أنه لا توجد خطط للقيام بذلك في هذا الوقت.

تعمل شركات الأمان أحيانًا مع موفري النطاقات لتوجيه أسماء نطاق C & C المستخدمة من قبل المهاجمين إلى عناوين IP تحت سيطرتهم. تُعرف هذه العملية باسم "sinkholing" وتُستخدم لتحديد عدد أجهزة الكمبيوتر المصابة بتهديد معين ونوع المعلومات التي ترسلها أجهزة الكمبيوتر مرة أخرى إلى خوادم التحكم.

"لقد اتصلنا ونعمل مع CERTs [فرق الاستجابة لحالات الطوارئ الكمبيوتر] للدول المعنية المتضررة وسنرى إذا كان هناك بالفعل أي ضرر القيام به ، "Macalintal قال. "لا نزال نراقب الحملة بشكل نشط حتى الآن وننشر التحديثات وفقًا لذلك."