Havex RAT
Havex RAT es un troyano de acceso remoto que forma parte del conjunto de herramientas de un grupo de piratas informáticos ruso patrocinado por el estado llamado Energetic Bear o Dragonfly. En el momento de su descubrimiento, Havex RAT estaba entre las cinco amenazas de malware desarrolladas para atacar específicamente los sistemas de control industrial para la exfiltración de datos. Las víctimas de Havex procedían principalmente de Estados Unidos y Europa y pertenecían a un subconjunto específico de industrias: energía, aviación, farmacéutica, defensa y petroquímica.
Una vez implementado en el sistema de destino, Havex inicia un escaneo abusando del protocolo OPC (Comunicaciones de plataforma abierta) para trazar la red industrial de la víctima. Cabe señalar que el módulo de escaneo OPC de Havex solo funciona en el antiguo estándar OPC basado en DCOM (modelo de objetos componentes distribuidos). La amenaza recopila toda la información que está programada para exfiltrar y enviarla a la infraestructura de Comando y Control (C2, C&C) del hacker que estaba alojada en sitios web comprometidos. Havex también puede realizar las funciones de una amenaza de puerta trasera típica, como la entrega de cargas útiles de malware adicionales. Se observó que Havex soltaba el recopilador de información más potente Karagany que es capaz de robar credenciales, tomar capturas de pantalla y transferir archivos.
Sitios legítimos pirateados para distribuir Havex
Varios vectores de ataque estuvieron involucrados en la campaña que distribuyó Havex. Los piratas informáticos desplegaron correos electrónicos de spear-phishing que contenían archivos adjuntos armados, pero también comprometieron sitios web legítimos y abusaron de ellos. Primero, podrían obligar a los sitios web de estos proveedores a redirigir a todas las víctimas desprevenidas a páginas corruptas que entregan Havex. La segunda táctica fue mucho más siniestra ya que los piratas informáticos inyectaron Havex en el software legítimo ofrecido por los sitios web de los proveedores comprometidos. Este método tiene la ventaja de evitar ciertas medidas anti-malware, ya que los usuarios autorizan las descargas específicamente, pensando que están obteniendo la aplicación genuina que deseaban. Entre los proveedores comprometidos se encuentran MESA Imaging, eWON / Talk2M y MB Connect Line.
