Havex RAT

De Havex RAT is een trojan voor externe toegang die deel uitmaakt van de toolkit van een Russische, door de staat gesponsorde hackergroep genaamd Energetic Bear of Dragonfly. Op het moment van zijn ontdekking was de Havex RAT een van de vijf malwarebedreigingen die zijn ontwikkeld om zich specifiek te richten op industriële besturingssystemen voor gegevensonderschepping. De slachtoffers van Havex waren voornamelijk afkomstig uit de VS en Europa en behoorden tot een specifieke subset van industrieën - energie-, luchtvaart-, farmaceutische, defensie- en petrochemische sectoren.

Eenmaal geïmplementeerd op het beoogde systeem, start Havex een scan door misbruik te maken van het OPC-protocol (Open Platform Communications) om het industriële netwerk van het slachtoffer in kaart te brengen. Opgemerkt moet worden dat de OPC-scanmodule van Havex alleen werkt op de oude DCOM-gebaseerde (Distributed Component Object Model) OPC-standaard. De bedreiging verzamelt alle informatie die is geprogrammeerd om te exfiltreren en stuurt deze naar de Command-and-Control-infrastructuur (C2, C&C) van de hacker die werd gehost op gecompromitteerde websites. Havex kan ook de functies van een typische achterdeurbedreiging uitvoeren, zoals het leveren van extra malware-payloads. Er werd waargenomen dat Havex de krachtigere informatiecolletor Karagany liet vallen die in staat is tot diefstal van inloggegevens, screenshots maakt en bestanden overbrengt.

Legitieme sites gehackt om Havex te verspreiden

Meerdere aanvalsvectoren waren betrokken bij de campagne die Havex verspreidde. De hackers gebruikten spear-phishing-e-mails met bewapende bijlagen, maar ze maakten ook inbreuk op legitieme websites en misbruikten deze. Ten eerste kunnen ze deze leverancierswebsites dwingen om alle nietsvermoedende slachtoffers om te leiden naar corrupte pagina's die Havex leveren. De tweede tactiek was veel sinister omdat de hackers Havex injecteerden in de legitieme software die werd aangeboden door de gecompromitteerde leverancierswebsites. Deze methode heeft het voordeel dat bepaalde anti-malwaremaatregelen worden omzeild, aangezien de gebruikers de downloads specifiek autoriseren, in de veronderstelling dat ze de echte applicatie krijgen die ze wilden. Onder de gecompromitteerde leveranciers waren MESA Imaging, eWON / Talk2M en MB Connect Line.

Trending

Meest bekeken

Bezig met laden...