64-битная разновидность Havex RAT

Представители компании Trend Micro обнаружили 64-битный вариант трояна Havex, средства удаленного доступа, которое применяется в кампаниях кибершпиоанажа для атак на индустриальные автоматизированные системы управления.

Во вредоносной кампании Dragonfly злоумышленники использовали 32-битную версию Havex, поскольку их интересовали преимущественно системы под управлением устаревшей ОС Windows XP. Однако эксперты выявили две системы на ОС Windows 7, инфицированные 64-битной разновидностью вредоноса.

Один из файлов вредоносного ПО – это TMPpovider023.dll (BKDR64_HAVEX.A), библиотека, отвечающая за коммуникацию с C&C-серверами, а именно за загрузку файлов и выполнение команд. Цифра 23 в наименовании файла обозначает версию вредоноса. Скомпилированный в октябре 2012 года, данный файл предназначен для 64-битных систем. В версию Havex v029 включен обновленный 32-битный вариант файла.

«Файл TMPprovider023.dll (v023) был скомпилирован раньше, чем любой из трех других файлов, то есть, 64-битный файл использовался в этом вредоносе до появления 32-битных версий. Фактически в результате самостоятельного запуска 32-битного модуля появляется файл TMPprovider029.dll, который, несомненно, представляет собой Havex RAT v029» — поясняют эксперты.

Версии v023 и v029 используют одну и ту же инфраструктуру, поскольку обращаются к одним и тем же C&C-серверам. Исследователи о том, что в настоящее время запросы на C&C-серверы поступают как минимум с четырех IP-адресов.

Специалисты компании также выявили вредоносные файлы, обнаруживаемые как BKDR_HAVEX.SM, которые в целях конспирации были подписаны фальшивым цифровым сертификатом IBM.

Источник: securitylab.ru

Реклама
Запись опубликована в рубрике News. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s