Xtreme RAT恶意软件目标美国，英国和其他政府

攻击者通过.RAR附件向目标政府机构内的电子邮件地址发送流氓消息。该档案包含一个伪装成Word文档的恶意可执行文件，该文件在运行时安装了Xtreme RAT恶意软件，并打开了一份关于巴勒斯坦导弹袭击的新闻报道的诱饵文件。

10月底，这一攻击事件曝光以色列警方关闭了其计算机网络，以清除其系统中的恶意软件。与大多数远程访问特洛伊木马程序（RAT）一样，Xtreme RAT让攻击者可以控制被感染的计算机，并允许他们将文档和其他文件上传到他们的服务器。

[进一步阅读：如何从Windows PC删除恶意软件]

在分析以色列警方袭击中使用的恶意软件样本之后，来自挪威的防病毒供应商诺曼的安全研究人员发现了一系列来自今年早些时候和2011年底的针对以色列和巴勒斯坦领土组织的老式攻击。他们的研究结果描绘了该地区同一组攻击者进行的为期一年的网络间谍活动。然而，根据趋势科技的研究人员发现的新数据，该活动的范围似乎更大。

“趋势科技高级威胁研究员Nart Villeneuve本周早些时候在一篇博客文章中表示，”我们在11月11日和11月8日从{BLOCKED}[email protected]发送的两封电子邮件主要针对以色列政府。 “其中一封电子邮件已发送至294个电子邮件地址。”

“虽然绝大多数电子邮件都是在以色列政府'mfa.gov.il'（以色列外交部）'idf。发送给以色列政府的。 gov.il'[以色列国防军]和'mod.gov.il'[以色列国防部]，其中很大一部分也被送到美国政府'state.gov'[美国国务院]的电子邮件地址， “维伦纽夫说。 “其他美国政府的目标还包括'senate.gov'[美国参议院]和'house.gov'[美国众议院]电子邮件地址。该电子邮件还发送到'usaid.gov'[美国国际开发署]电子邮件地址“。

目标列表还包括'fco.gov.uk'（英国外交和联邦事务部）和'mfa.gov.tr'（土耳其外交部）的电子邮件地址，以及政府的地址研究人员说，斯洛文尼亚，马其顿，新西兰和拉脱维亚的研究机构。一些非政府组织，如英国广播公司和四方代表办公室也是有针对性的。

动机不明

趋势科技的研究人员使用诱饵文档中的元数据来追踪他们的一些作者到一个在线论坛。其中一人使用别名“aert”来讨论各种恶意软件应用，包括DarkComet和Xtreme RAT，或者与其他论坛成员交换商品和服务，Villeneuve表示，然而，攻击者的动机仍不清楚。如果在诺曼报告之后，人们可能会推测，在趋势科技的最新发现之后，攻击者有一个与以色列和巴勒斯坦领土相关的政治议程。很难猜测是什么驱使他们。“

”趋势科技的高级威胁研究员兼安全传播人员Ivan Macalintal周五通过电子邮件表示，“在发现针对其他国家组织的最新发展之后，他们的动机至今还不清楚。

研究人员表示，趋势科技尚未控制攻击者使用的任何命令和控制（C&C）服务器，以确定哪些数据是从被感染的计算机上被盗取的，并补充说现在还没有计划这样做。

安全公司有时会与域名提供商合作，将攻击者使用的C&C域名指向其控制的IP地址。这个过程被称为“sinkholing”，用于确定有多少台计算机感染了特定的威胁，以及这些计算机将哪些信息发送回控制服务器。

“我们已经联系并正在与CERT [计算机应急响应小组]为受影响的特定国家，我们将看看是否确实有任何损害，“Macalintal说。 “我们目前仍在积极监督这一活动，并会相应地发布更新。”