Licenser til flere enheder (volumenrabatter)

Skift region

English Dansk Deutsch Español Français Italiano Nederlands Português
Threat Database Remote Administration Tools Havex RAT

Havex RAT

Med GoldSparrow i Remote Administration Tools
Oversæt til:
Dansk

Havex RAT er en Remote Access Trojan, der er en del af værktøjssættet til en russisk, statsstøttet hackergruppe kaldet Energetic Bear eller Dragonfly. På tidspunktet for opdagelsen var Havex RAT blandt de fem malware-trusler, der blev udviklet til specifikt at målrette mod industrielle kontrolsystemer til dataeksfiltrering. Ofrene for Havex kom hovedsageligt fra USA og Europa og tilhørte en bestemt undergruppe af industrier - energi, luftfart, farmaceutiske, forsvars- og petrokemiske sektorer.

Når det først er implementeret på det målrettede system, initierer Havex en scanning ved at misbruge OPC-protokollen (Open Platform Communications) for at kortlægge offerets industrielle netværk. Det skal bemærkes, at OPC-scanningsmodulet i Havex kun fungerer på den gamle DCOM-baserede (Distribuerede komponentobjektmodel) OPC-standard. Truslen samler alle de oplysninger, den er programmeret til at exfiltrere og sende den til hackers Command-and-Control (C2, C&C) infrastruktur, der var vært på kompromitterede websteder. Havex kan også udføre funktionerne i en typisk bagdørstrussel, såsom levering af yderligere malware-nyttelast. Havex blev observeret at droppe den mere potente infosamler Karagany, der er i stand til legitimationstyveri, tager skærmbilleder og overfører filer.

Lovlige websteder hacket til distribution af Havex

Flere angrebsvektorer var involveret i kampagnen, der distribuerede Havex. Hackerne indsatte spear-phishing-e-mails med våbeniserede vedhæftede filer, men de kompromitterede også legitime websteder og misbrugte dem. For det første kunne de tvinge disse leverandørwebsteder til at omdirigere alle intetanende ofre til beskadigede sider, der leverer Havex. Den anden taktik var langt mere uhyggelig, da hackerne injicerede Havex i den legitime software, der tilbydes af de kompromitterede leverandørwebsteder. Denne metode har fordelen ved at omgå visse anti-malware-tiltag, da brugerne godkender downloads specifikt og tænker, at de får den ægte applikation, de ønsker. Blandt de kompromitterede leverandører var MESA Imaging, eWON / Talk2M og MB Connect Line.

Trending

Mest sete

Indlæser...