Havex RAT

Havex RAT è un Trojan di accesso remoto che fa parte del toolkit di un gruppo di hacker russo sponsorizzato dallo stato chiamato Energetic Bear o Dragonfly. Al momento della sua scoperta, Havex RAT era tra le cinque minacce malware sviluppate per colpire specificamente i sistemi di controllo industriale per l'esfiltrazione dei dati. Le vittime di Havex provenivano principalmente dagli Stati Uniti e dall'Europa e appartenevano a un sottoinsieme specifico di industrie: i settori energetico, aeronautico, farmaceutico, della difesa e petrolchimico.

Una volta distribuito sul sistema mirato, Havex avvia una scansione abusando del protocollo OPC (Open Platform Communications) per mappare la rete industriale della vittima. Va notato che il modulo di scansione OPC di Havex funziona solo sul vecchio standard OPC basato su DCOM (Distributed Component Object Model). La minaccia raccoglie tutte le informazioni che è programmata per esfiltrare e inviarle all'infrastruttura Command-and-Control (C2, C&C) dell'hacker che era ospitata su siti Web compromessi. Havex può anche eseguire le funzioni di una tipica minaccia backdoor, come la distribuzione di payload malware aggiuntivi. È stato osservato che Havex ha abbandonato il più potente collezionista di informazioni Karagany che è in grado di rubare le credenziali, acquisire schermate e trasferire file.

Siti legittimi hackerati per distribuire Havex

Diversi vettori di attacco sono stati coinvolti nella campagna che ha distribuito Havex. Gli hacker hanno distribuito e-mail di spear phishing contenenti allegati armati, ma hanno anche compromesso siti Web legittimi e ne hanno abusato. In primo luogo, potrebbero costringere questi siti Web di fornitori a reindirizzare tutte le vittime ignare a pagine danneggiate che forniscono Havex. La seconda tattica è stata molto più sinistra poiché gli hacker hanno iniettato Havex nel software legittimo offerto dai siti Web dei fornitori compromessi. Questo metodo ha il vantaggio di aggirare alcune misure anti-malware poiché gli utenti autorizzano specificamente i download, pensando di ottenere l'applicazione originale che desideravano. Tra i fornitori compromessi c'erano MESA Imaging, eWON / Talk2M e MB Connect Line.