Эксперты обнаружили 64-битную разновидность вредоноса Havex RAT

image

Теги: Havex, кибершпионаж, автоматизированные системы управления

Вредоносное ПО Havex активно используется в кампаниях кибершпионажа для атак на автоматизированные системы управления промышленными объектами.

Представители компании Trend Micro обнаружили 64-битный вариант трояна Havex, средства удаленного доступа, которое применяется в кампаниях кибершпиоанажа для атак на индустриальные автоматизированные системы управления.

Во вредоносной кампании Dragonfly злоумышленники использовали 32-битную версию Havex, поскольку их интересовали преимущественно системы под управлением устаревшей ОС Windows XP. Однако эксперты выявили две системы на ОС Windows 7, инфицированные 64-битной разновидностью вредоноса.

Один из файлов вредоносного ПО – это TMPpovider023.dll (BKDR64_HAVEX.A), библиотека, отвечающая за коммуникацию с C&C-серверами, а именно за загрузку файлов и выполнение команд. Цифра 23 в наименовании файла обозначает версию вредоноса. Скомпилированный в октябре 2012 года, данный файл предназначен для 64-битных систем. В версию Havex v029 включен обновленный 32-битный вариант файла.

«Файл TMPprovider023.dll (v023) был скомпилирован раньше, чем любой из трех других файлов, то есть, 64-битный файл использовался в этом вредоносе до появления 32-битных версий. Фактически в результате самостоятельного запуска 32-битного модуля появляется файл TMPprovider029.dll, который, несомненно, представляет собой Havex RAT v029» - поясняют эксперты.

Версии v023 и v029 используют одну и ту же инфраструктуру, поскольку обращаются к одним и тем же C&C-серверам. Исследователи о том, что в настоящее время запросы на C&C-серверы поступают как минимум с четырех IP-адресов.

Специалисты компании также выявили вредоносные файлы, обнаруживаемые как BKDR_HAVEX.SM, которые в целях конспирации были подписаны фальшивым цифровым сертификатом IBM.

«Несмотря на то что HAVEX RAT использовался в нескольких циклах, не исключено его повторное использование. Специалистам следует учесть, что структура бинарников HAVEX и известных вредоносов для Windows во многом совпадают. Поэтому необходимо проверять программное обеспечение, которое устанавливается на конечные системы, а также мониторить HTTP-трафик», - советуют эксперты. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.