มัลแวร์ Xtreme RAT มุ่งเป้าหมายไปที่สหรัฐฯ, อังกฤษ, รัฐบาลอื่น ๆ

ผู้โจมตีส่งข้อความหลอกลวงด้วยไฟล์แนบ. RAR ไปยังที่อยู่อีเมลภายในหน่วยงานรัฐบาลที่กำหนดเป้าหมาย ที่เก็บถาวรนี้มีไฟล์ปลอมที่เป็นอันตรายซึ่งเป็นเอกสาร Word ที่ติดตั้งมัลแวร์ Xtreme RAT และเปิดเอกสารล่อด้วยรายงานข่าวเกี่ยวกับการโจมตีขีปนาวุธของปาเลสไตน์

การโจมตีเกิดขึ้นเมื่อปลายเดือนตุลาคม ตำรวจอิสราเอลปิดระบบเครือข่ายคอมพิวเตอร์เพื่อทำความสะอาดมัลแวร์จากระบบของตน เช่นโปรแกรมโทรจันที่เข้าถึงระยะไกล (RAT) ส่วนใหญ่ Xtreme RAT จะช่วยให้ผู้โจมตีสามารถควบคุมเครื่องที่ติดไวรัสและอนุญาตให้อัพโหลดเอกสารและไฟล์อื่น ๆ กลับไปยังเซิร์ฟเวอร์ของตน

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

หลังจากการวิเคราะห์ตัวอย่างมัลแวร์ที่ใช้ในการโจมตีของตำรวจอิสราเอลนักวิจัยด้านความปลอดภัยจากผู้ผลิตซอฟต์แวร์ป้องกันไวรัสชาวนอร์เวย์ที่ชื่อนอร์แมนได้ค้นพบการโจมตีแบบเก่า ๆ จากช่วงต้นปีและปลายปี 2554 ที่มีการกำหนดเป้าหมายไว้ที่องค์กรต่างๆในอิสราเอลและดินแดนปาเลสไตน์ ผลการวิจัยของพวกเขาวาดภาพการดำเนินงานไซเบอร์สปีดโบอิ้งยาวนานเป็นเวลา 1 ปีที่ดำเนินการโดยกลุ่มผู้โจมตีกลุ่มเดียวกันในภูมิภาคนี้

อย่างไรก็ตามตามข้อมูลใหม่ ๆ ที่นักวิจัยจากเทรนด์ไมโครค้นพบว่าขอบเขตของแคมเปญมีขนาดใหญ่กว่ามาก

"เราค้นพบอีเมลสองฉบับที่ส่งมาจาก {BLOCKED}[email protected] เมื่อวันที่ 11 พฤศจิกายนและ 8 พฤศจิกายนที่มุ่งเป้าไปที่รัฐบาลอิสราเอล" นักวิจัยด้านภัยคุกคามอาวุโสของ Trend Micro Nart Villeneuve กล่าวในบล็อกโพสต์เมื่อต้นสัปดาห์นี้ "หนึ่งในอีเมลถูกส่งไปยังที่อยู่อีเมล 294"

"ในขณะที่อีเมลส่วนใหญ่ถูกส่งไปยังรัฐบาลอิสราเอลที่ 'mfa.gov.il' [กระทรวงการต่างประเทศของอิสราเอล], 'idf. [กระทรวงกลาโหมอิสราเอล] และ 'mod.gov.il' [กระทรวงกลาโหมของอิสราเอล] จำนวนมากถูกส่งไปยังรัฐบาลสหรัฐฯที่ที่อยู่อีเมลของรัฐ [state.gov] [สหรัฐอเมริกากระทรวงการต่างประเทศ] "กล่าวว่า Villeneuve "เป้าหมายอื่น ๆ ของรัฐบาลสหรัฐฯยังรวมถึงที่อยู่อีเมลของวุฒิสภาสหรัฐอเมริกาและสภาผู้แทนราษฎรของสภาผู้แทนราษฎรด้วยเช่นกันนอกจากนี้อีเมลดังกล่าวยังถูกส่งไปที่อีเมล" usaid.gov "[สหรัฐอเมริกาหน่วยงานเพื่อการพัฒนาระหว่างประเทศ] ที่อยู่ "

รายชื่อเป้าหมายรวมถึง" fco.gov.uk "(สำนักงานเครือจักรภพอังกฤษและเครือจักรภพอังกฤษ) และที่อยู่อีเมล" mfa.gov.tr ​​"(ตุรกีกระทรวงการต่างประเทศ) รวมทั้งที่อยู่จากรัฐบาล สถาบันในสโลวีเนียมาซิโดเนียนิวซีแลนด์และลัตเวียนักวิจัยกล่าวว่า องค์กรที่ไม่ใช่เอกชนเช่นบีบีซีและ Office of the Quartet Representative ยังถูกกำหนดเป้าหมาย

แรงจูงใจไม่ชัดเจน

นักวิจัยของ Trend Micro ใช้ข้อมูลเมตาจากเอกสารล่อเพื่อติดตามผู้เขียนบางส่วนในฟอรัมออนไลน์ หนึ่งในนั้นใช้นามแฝง "aert" เพื่อพูดถึงแอพพลิเคชันมัลแวร์ต่างๆเช่น DarkComet และ Xtreme RAT หรือแลกเปลี่ยนสินค้าและบริการกับสมาชิกฟอรัมอื่น ๆ Villeneuve กล่าวว่า

อย่างไรก็ตามแรงจูงใจของผู้โจมตียังคงไม่ชัดเจน ถ้าหลังจากรายงานของ Norman ใครบางคนอาจคาดการณ์ว่าผู้บุกรุกมีวาระทางการเมืองที่เชื่อมโยงกับอิสราเอลและดินแดนปาเลสไตน์หลังจากการค้นพบล่าสุดของ บริษัท เทรนด์ไมโคร Ivan Macalintal, นักวิจัยด้านภัยคุกคามระดับสูงและผู้สอนด้านความปลอดภัยของ Trend Micro กล่าวเมื่อวันศุกร์ที่ผ่านมาว่า "แรงจูงใจของพวกเขายังไม่เป็นที่แน่ชัดในประเด็นนี้หลังจากค้นพบการพัฒนาล่าสุดนี้ในการกำหนดเป้าหมายองค์กรของรัฐอื่น ๆ

เทรนด์ไมโครไม่ได้เข้าควบคุมเซิร์ฟเวอร์คำสั่งและควบคุม (C & C) ที่ใช้โดยผู้บุกรุกเพื่อหาข้อมูลที่ถูกขโมยจากคอมพิวเตอร์ที่ติดไวรัสนักวิจัยกล่าวเพิ่มเติมว่าในตอนนี้ไม่มีแผนจะทำเช่นนั้น

บริษัท รักษาความปลอดภัยบางครั้งทำงานร่วมกับผู้ให้บริการโดเมนเพื่อระบุชื่อโดเมน C & C ที่ใช้โดยผู้โจมตีไปยังที่อยู่ IP ภายใต้การควบคุมของตน กระบวนการนี้เรียกว่า "sinkholing" และใช้ในการระบุจำนวนคอมพิวเตอร์ที่ติดไวรัสโดยเฉพาะและข้อมูลชนิดใดที่คอมพิวเตอร์เหล่านั้นส่งกลับไปยังเซิร์ฟเวอร์ควบคุม

"เราได้ติดต่อและกำลังทำงานร่วมกับ CERTs [ทีมตอบสนองฉุกเฉินทางคอมพิวเตอร์] สำหรับประเทศต่างๆที่ได้รับผลกระทบและเราจะดูว่ามีความเสียหายเกิดขึ้นจริงหรือไม่ "Macalintal กล่าว "เรายังคงติดตามแคมเปญอย่างต่อเนื่องในขณะนี้และจะโพสต์การปรับปรุงตามลำดับ"