Xtreme RAT-Angriffe zielen auf Israel und Regierungen anderer Länder

Originalartikel von Nart Villeneuve, Senior Threat Researcher

Kürzlich beschrieb Trend Micro einen Angriff über das öffentlich verfügbare Xtreme RAT-Tool auf Zielpersonen in Israel. Norman konnte nun diesen Angriff mit einer jahrelangen Kampagne gegen israelische und palästinensische Ziele in Zusammenhang setzen. Die Sicherheitsforscher von Trend Micro fanden heraus, dass die Angriffe noch immer laufen und dass die Ziele breiter gestreut sind als bisher angenommen.

Die Forscher fanden zwei E-Mails, die von {BLOCKED}a.2011@gmail.com am 8. und 11. November abgeschickt wurden und in erster Linie die israelische Regierung zum Ziel hatten. Die eine wurde an 294 Mail-Adressen geschickt und zwar mehrheitlich an “mfa.gov.il”, “idf.gov.il” und “mod.gov.il”. Doch gingen viele auch an Adressen der US-Regierung unter „state.gov“, “senate.gov”, “house.gov” sowie “usaid.gov”. Schließlich umfasste die Liste der Ziel-Adressen auch die Regierungen von Großbritannien (fco.gov.uk), der Türkei (mfa.gov.tr), Sloweniens (gov.si), Mazedoniens, Neuseelands und Lettlands. Zusätzlich waren die BBC (bbc.co.uk) und das Office of the Quartet Representative (quartetrep.org) betroffen.

Es liegen keine Informationen dazu vor, wie viele Adressaten die Mails tatsächlich erhalten haben und wie viele die schädlichen Anhänge möglicherweise geöffnet haben.

Die E-Mails haben eine ausführbare .RAR-Datei als Anhang, die sich als Dokument ausgibt.

Die Recherche ergab, dass die Malware mit einem ungültigen Zertifikat signiert ist. Wird die Datei ausgeführt, so öffnet sie als Köder ein Dokument und installiert Xtreme RAT auf den Zielsystemen. Der Schädling nimmt auch zu folgenden URLs Verbindung auf:

  • {BLOCKED}t.cable-modem.org
  • {BLOCKED}f.blogsite.org


Der Köder enthält einen Artikel von DEBKA, einer Nachrichten-Webseite. Die Metadaten des Dokuments umfassen einen interessanten Hinweis:

Norman fand in den Metadaten Hinweise auf den Autor des Dokuments. Brian Krebs konnte einige der Aliase mit Veröffentlichungen in bestimmten Online-Foren in Verbindung bringen. Die Forscher bei Trend Micro konzentrierten sich auf „HinT“, weil sie schon vorher „hint“ in den C&C-Servern hint.{BLOCKED}o.org, hint1.{BLOCKED}o.org und hint{BLOCKED}.com als Teil der Kampagne entdeckt hatten.

Sie fanden heraus, dass die Domäne hint{BLOCKED}.org in einer Forumsveröffentlichung des Nutzers „aert“, ein weiterer Alias aus dem Dokument, genutzt wurde. Dieser Nutzer schrieb über eine Vielfalt an Schädlingen, einschließlich DarkComet und Xtreme RAT.

Auch schrieb „aert“ über den Austausch von Gütern und Dienstleistungen, doch letztendlich erhielt er wegen fehlenden Vertrauens negative Bewertungen innerhalb des Forums.

Die Bedeutung dieser Angriffe ist auch deshalb hoch einzuschätzen, weil sie einerseits eine erweiterte Zielgruppe betreffen und andererseits die Verbindung zu Hacker-Foren aufzeigen. Zudem veranschaulichen sie, dass Schädlinge „von der Stange“ auch sehr effektiv sein können, wenn sie für gezielte Angriffe eingesetzt werden.

Diese Kampagne scheint weit von ihrem Ende entfernt zu sein. Angesichts der breit gestreuten Ziele in verschiedenen Ländern liegen die Motive der Angreifer weitgehend im Dunkeln. Die Sicherheitsforscher beobachten und analysieren die Situation weiterhin.

Das Smart Protection Network schützt Trend Micro-Anwender vor dieser Gefahr, da die einzelnen Services dahinter die schädlichen Mail-Nachrichten und Dateien erkennen und blockieren.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*