Havex RAT

Die Havex RAT ist ein RAS-Trojaner, der Teil des Toolkits einer russischen, staatlich geförderten Hacker-Gruppe namens Energetic Bear oder Dragonfly ist. Zum Zeitpunkt seiner Entdeckung gehörte die Havex RAT zu den fünf Malware-Bedrohungen, die speziell für industrielle Steuerungssysteme zur Datenexfiltration entwickelt wurden. Die Opfer von Havex stammten hauptsächlich aus den USA und Europa und gehörten einer bestimmten Untergruppe von Branchen an - Energie, Luftfahrt, Pharma, Verteidigung und Petrochemie.

Nach der Bereitstellung auf dem Zielsystem initiiert Havex einen Scan, indem das OPC-Protokoll (Open Platform Communications) missbraucht wird, um das industrielle Netzwerk des Opfers abzubilden. Es ist zu beachten, dass das OPC-Scanmodul von Havex nur mit dem alten DCOM-basierten OPC-Standard (Distributed Component Object Model) funktioniert. Die Bedrohung sammelt alle Informationen, die für die Exfiltration programmiert sind, und sendet sie an die Command-and-Control-Infrastruktur (C2, C&C) des Hackers, die auf gefährdeten Websites gehostet wurde. Havex kann auch die Funktionen einer typischen Backdoor-Bedrohung ausführen, z. B. die Bereitstellung zusätzlicher Malware-Nutzdaten. Es wurde beobachtet, dass Havex den leistungsstärkeren Info-Colletor Karagany liefert, der in der Lage ist, Anmeldeinformationen zu stehlen, Screenshots zu machen und Dateien zu übertragen.

Legitime Websites wurden gehackt, um Havex zu verbreiten

An der Kampagne, die Havex verteilte, waren mehrere Angriffsmethoden beteiligt. Die Hacker haben Spear-Phishing-E-Mails mit waffengeschützten Anhängen bereitgestellt, aber auch legitime Websites kompromittiert und missbraucht. Erstens könnten sie diese Anbieter-Websites zwingen, alle ahnungslosen Opfer auf beschädigte Seiten umzuleiten, die Havex liefern. Die zweite Taktik war weitaus unheimlicher, als die Hacker Havex in die legitime Software injizierten, die von den Websites der kompromittierten Anbieter angeboten wurde. Diese Methode hat den Vorteil, dass bestimmte Anti-Malware-Maßnahmen umgangen werden, da die Benutzer die Downloads speziell autorisieren und glauben, dass sie die gewünschte Originalanwendung erhalten. Zu den kompromittierten Anbietern gehörten MESA Imaging, eWON/Talk2M und MB Connect Line.

Im Trend

Am häufigsten gesehen

Wird geladen...