Keyfacts
- entdeckt: 2014, erste Vorfälle bereits 2012
- sicher aktiv seit: 15.01.2014
- letzte Aktualisierung: Januar 2014
- Verbreitung: 15 Computer in Nahost, darunter insbesondere Computer der zivilen Verwaltung von Judäa und Samaria
- Infektion und Replikation: keine Replikation, Spear Phishing über infizierte PDFs mit Texten und politischen Stellungnahmen zu Terror-Attacken gegen Israel
- Hauptziel: Spionage und Datendiebstahl
- Vermutliche Herkunft: lt. Seculert vermutlich palästinensische Aktivistengruppe
Relevante Dokumente
- Xtreme RAT Strikes Israeli Organizations Again (Q: Seculert [Link offline])
- Xtreme RAT Campaign – The Next Phase (Q: Seculert [Link offline])
- Systematic cyberattacks against Israeli and Palestinian targets going on for a year (Q: Norman AS [Link offline])
XtremeRAT ist ein Trojaner, der insbesondere bei Cyberattacken gegen Computer im nahen Osten eine wichtige Rolle spielt. Sicherheitsexperten haben diese Software unter anderem bereits 2012 bei Angriffe gegen das Computernetzwerk der israelischen Polizei entdeckt sowie bei weiteren Attacken gegen israelische und palästinensische Ziele (siehe „Relevante Dokumente“).
“This isn’t the first and it most definitely won’t be the last time we see Xtreme RAT used by cybercriminals, hacktivists or nation-states. In terms of this particular targeted attack, the nature of the compromised organizations could have implications outside cyberspace.“ (Q: Seculert, siehe „Relevante Dokumente“)
Im Falle dieser Attacken wurden gezielt Computer der zivilen israelischen Verwaltungsbehörde angegriffen, die verantwortlich ist für die Erteilungen von Einreise-Erlaubnissen aus dem Westjordanland (Westbank) nach Israel sowie Arbeitsgenehmigungen. Laut Seculert sind vermutlich, wie bereits zuvor, palästinensische Aktivisten für die Angriffe verantwortlich, in jedem Falle deutet die teilweise fehlerhafte Rechtschreibung der Texte, der für das Spear Phishing versendeten Mails, darauf hin, dass es sich nicht um israelische Muttersprachler handelt. Die möglicherweise entwendeten Daten wurden über C&C-Server in den USA kopiert, allerdings ist noch unklar, welche Informationen gesucht und in welchem Umfang diese kopiert wurden.