Havex RAT

Havex RAT est un cheval de Troie d'accès à distance qui fait partie de la boîte à outils d'un groupe de hackers russe, parrainé par l'État, appelé Energetic Bear ou Dragonfly. Au moment de sa découverte, le Havex RAT faisait partie des cinq menaces de logiciels malveillants développées pour cibler spécifiquement les systèmes de contrôle industriels pour l'exfiltration de données. Les victimes de Havex venaient principalement des États-Unis et d'Europe et appartenaient à un sous-ensemble spécifique d'industries - secteurs de l'énergie, de l'aviation, de la pharmacie, de la défense et de la pétrochimie.

Une fois déployé sur le système ciblé, Havex lance un scan en abusant du protocole OPC (Open Platform Communications) pour cartographier le réseau industriel de la victime. Il est à noter que le module de scrutation OPC de Havex ne fonctionne que sur l'ancien standard OPC basé sur DCOM (Distributed Component Object Model). La menace recueille toutes les informations qu'elle est programmée pour exfiltrer et les envoie à l'infrastructure de commande et de contrôle (C2, C&C) du pirate informatique qui était hébergée sur des sites Web compromis. Havex peut également exécuter les fonctions d'une menace de porte dérobée typique, comme la livraison de charges utiles de logiciels malveillants supplémentaires. On a observé que Havex abandonnait le plus puissant collecteur d'informations Karagany, capable de vol d'informations d'identification, de prendre des captures d'écran et de transférer des fichiers.

Sites légitimes piratés pour distribuer Havex

Plusieurs vecteurs d'attaque ont été impliqués dans la campagne qui a distribué Havex. Les pirates ont déployé des e-mails de spear-phishing contenant des pièces jointes d'armes, mais ils ont également compromis des sites Web légitimes et en ont abusé. Premièrement, ils pourraient forcer ces sites Web de fournisseurs à rediriger toutes les victimes sans méfiance vers des pages corrompues qui fournissent Havex. La deuxième tactique était bien plus sinistre car les pirates ont injecté Havex dans le logiciel légitime proposé par les sites Web des fournisseurs compromis. Cette méthode a l'avantage de contourner certaines mesures anti-malware car les utilisateurs autorisent spécifiquement les téléchargements, pensant qu'ils obtiennent la véritable application qu'ils désiraient. Parmi les fournisseurs compromis figuraient MESA Imaging, eWON / Talk2M et MB Connect Line.

Tendance

Le plus regardé

Chargement...