近日，卡巴斯基实验室的研究人员同高级威胁检测公司Seculert联合进行了一项针对“Madi”恶意攻击的调查，发现Madi是一次持续性的网络间谍行动，攻击目标位于中东地区。而卡巴斯基实验室的反病毒系统将Madi恶意软件变种以及相关的释放器和组件检测为 Trojan.Win32.Madi。。据悉，Madi最初由Seculert发现，是一种网络入侵攻击行为，攻击过程中使用一种恶意木马程序，并利用社交工程技术对攻击目标进行仔细筛选。

卡巴斯基实验室联合Seculert共同对Madi的命令控制服务器(C&C)进行了排污行动，从而监控其攻击行为。期间，卡巴斯基实验室和Seculert发现了位于伊朗、以色列以及全球其它国家的共超过800台受感染计算机在过去8个月中连接到此命令控制服务器。排污行动数据显示，受害用户主要是从事伊朗和以色列重要基础设施项目的商务人员、以色列金融机构工作人员、中东地区的工程学生以及负责中东地区交流的政府机构。

此外，对攻击中所使用的恶意软件进行分析显示，感染初期，恶意软件会下载一些有关宗教或政治内容的文档和图片进行干扰，让用户无法察觉被感染。

卡巴斯基实验室资深恶意软件分析师Nicolas Brulez解释说：“这次攻击中使用的恶意软件和基础设施同其它类似的攻击相比，相对较为简单。Madi攻击者能够对被攻击用户实施持续的监控，可能正是由于攻击者的不专业以及攻击技术的不成熟，导致这次攻击行动很长时间未被发现。”

Seculert首席技术官Aviv Raff表示：“有趣的是，分析过程中，我们在恶意软件以及其命令控制工具中发现很多波斯文字符串，这一现象并不多见。很明显，攻击者应该精通这种语言。”

Madi攻击中所使用的木马程序具有信息窃取功能，能够让远程攻击者窃取受感染计算机上的敏感文件，并监控用户的敏感通讯，如电子邮件和即时通讯消息，并且能记录用户的音频、键盘击键，截取用户屏幕。数据分析显示，从受感染计算机上传的数据已经有好几个T。