Обнаружена новая версия вредоносного ПО Havex RAT

2a99fb0591aa8c98609a0e71703831ceПрограмма Havex стала активно использоваться для атак автоматизированных систем управления, которые применяются на производстве. Злоумышленники предпочитают именно это вредоносное ПО, поскольку его легко замаскировать, настраивать под конкретные нужны, перепрошивать настройки ядра под определённые требования.

Аналитики компании Trend Micro сообщили о появлении x64-версии данного трояна. Совершенно очевидно, что основное поле деятельности развернётся на системах с аналогичным ядром, особенно на Windows 7 x64. Уже сейчас можно утверждать, что многочисленные автоматизированные системы находятся под угрозой, если их администраторы не будут своевременно инсталлировать обновления безопасности.

Одним из ключевых компонентов Havex является файл-библиотека TMPpovider023.dll (BKDR64_HAVEX.A), который используется для запуска вредоносного программного кода на серверах С&C. В данном случае, цифра 23 указывает на текущую версию файла. Компиляция библиотеки происходила в конце 2012 года, однако активная фаза её действия начинается лишь сейчас. Если посмотреть на версию Havex v029, то там присутствовал ещё 32-битный вариант, а 64-битный был выявлен лишь в декабре 2014.

Отличий между v023 и v029, кроме разрядности, практически не наблюдаются. Как отмечают эксперты, атаки поступают с разных IP-адресов, пока выявлено минимум четыре таких адреса. Поскольку в версиях используется идентичная инфраструктура, использование программ схоже. Поскольку злоумышленникам порой требуется конспирация файлов, для подписи используется поддельный цифровой сертификат от IBM. Как считают эксперты, владельцам и администраторам автоматизированных систем следует регулярно производить мониторинг трафика по протоколу HTTP. Так как общего между Havex и другими троянами под Windows очень много, вариантов скомпрометировать систему появляется масса. Несколько волн атак уже было, не исключается и повторная активность программ.