Malware Xtreme RAT menargetkan AS, Inggris, pemerintah lainnya

Kelompok peretas yang baru-baru ini menginfeksi komputer polisi Israel dengan malware Xtreme RAT juga telah menargetkan lembaga pemerintah dari AS, Inggris, dan negara lain, menurut peneliti dari vendor antivirus Trend Micro.

Para penyerang mengirim pesan jahat dengan lampiran.RAR ke alamat email dalam lembaga pemerintah yang ditargetkan. Arsip itu berisi penyamaran jahat yang berbahaya sebagai dokumen Word yang, ketika dijalankan, menginstal malware RAT Xtreme dan membuka dokumen umpan dengan laporan berita tentang serangan rudal Palestina.

Serangan itu terungkap pada akhir Oktober ketika Polisi Israel menutup jaringan komputernya untuk membersihkan malware dari sistemnya. Seperti kebanyakan program Trojan akses jarak jauh (TIK), Xtreme RAT memberi penyerang kontrol atas mesin yang terinfeksi dan memungkinkan mereka untuk mengunggah dokumen dan file lainnya kembali ke server mereka.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Setelah menganalisis sampel malware yang digunakan dalam serangan polisi Israel, para peneliti keamanan dari vendor antivirus yang berbasis di Norwegia Norman menemukan serangkaian serangan yang lebih tua dari awal tahun ini dan akhir 2011 yang menargetkan organisasi di Israel dan wilayah Palestina. Temuan mereka melukis gambar dari operasi cyberpageage satu tahun yang dilakukan oleh kelompok penyerang yang sama di wilayah tersebut.

Namun, menurut data baru yang ditemukan oleh para peneliti dari Trend Micro, ruang lingkup kampanye tampaknya jauh lebih besar.

"Kami menemukan dua email yang dikirim dari {BLOCKED}[email protected] pada 11 November dan 8 November yang terutama ditujukan pada Pemerintah Israel," peneliti senior ancaman Trend Micro Nart Villeneuve, mengatakan dalam sebuah posting blog awal pekan ini. "Salah satu email dikirim ke 294 alamat email."

"Sementara sebagian besar email dikirim ke Pemerintah Israel di 'mfa.gov.il' [Kementerian Luar Negeri Israel], 'idf. gov.il '[Pasukan Pertahanan Israel], dan' mod.gov.il '[Menteri Pertahanan Israel], sejumlah besar juga dikirim ke Pemerintah AS di alamat email' state.gov '[Departemen Luar Negeri AS], "Kata Villeneuve. "Target pemerintah AS lainnya juga termasuk alamat email 'senate.gov' [US Senate] dan 'house.gov' [US House of Representatives]. Email tersebut juga dikirim ke email 'usaid.gov' [US Agency for International Development] alamat. "

Daftar target juga termasuk 'fco.gov.uk' (Kantor Urusan Luar Negeri & Persemakmuran Inggris) dan 'mfa.gov.tr' (Kementerian Luar Negeri Turki) alamat email, serta alamat dari pemerintah lembaga di Slovenia, Makedonia, Selandia Baru, dan Latvia, kata peneliti. Beberapa organisasi non-pemerintah seperti BBC dan Kantor Perwakilan Kuartet, juga ditargetkan.

Motivasi tidak jelas

Peneliti Trend Micro menggunakan metadata dari dokumen umpan untuk melacak beberapa penulis mereka ke forum online. Salah satunya menggunakan alias "aert" untuk berbicara tentang berbagai aplikasi malware termasuk DarkComet dan Xtreme RAT atau untuk bertukar barang dan layanan dengan anggota forum lainnya, kata Villeneuve.

Namun, motivasi para penyerang masih belum jelas. Jika, setelah laporan Norman, orang mungkin berspekulasi bahwa para penyerang memiliki agenda politik yang terkait dengan Israel dan wilayah Palestina, setelah temuan terakhir Trend Micro. lebih sulit untuk menebak apa yang mendorong mereka.

"Motivasi mereka cukup tidak jelas pada titik ini setelah menemukan perkembangan terbaru dari penargetan organisasi negara lain," kata Ivan Macalintal, peneliti ancaman senior dan penginjil keamanan di Trend Micro, Jumat melalui email.

Trend Micro belum mengendalikan server perintah dan kontrol (C & C) yang digunakan oleh penyerang untuk menentukan data apa yang dicuri dari komputer yang terinfeksi, kata peneliti, menambahkan bahwa tidak ada rencana untuk melakukannya saat ini.

Perusahaan keamanan terkadang bekerja dengan penyedia domain untuk mengarahkan nama domain C & C yang digunakan oleh penyerang ke alamat IP di bawah kendali mereka. Proses ini dikenal sebagai "sinkholing" dan digunakan untuk menentukan berapa banyak komputer yang terinfeksi dengan ancaman tertentu dan jenis informasi apa yang dikirimkan komputer tersebut kembali ke server kontrol.

"Kami telah menghubungi dan bekerja dengan CERT [tim tanggap darurat komputer] untuk negara bagian tertentu terpengaruh dan kami akan melihat apakah memang ada kerusakan yang terjadi, "kata Macalintal. "Kami masih aktif memantau kampanye seperti sekarang dan akan memposting pembaruan yang sesuai."