1.操作系统的相关信息
2.凭证获取工具,用来窃取存储在开发Web浏览器的密码
3.使用自定义协议进行不同C&C服务器之间通信的组件,并在内存中执行三级有效载荷
"到目前为止,我们还未发现试图控制所连接硬件的任何有效载荷。"F-Secure证实。
动机是什么?
对于这一点,虽然他们的动机目前还不清楚,"我们也确定攻击者所使用的附件组件包含从受感染机器上收集数据的代码,这些机器用在ICS或SCADA系统。这表明,攻击者不仅仅对危及他们有兴趣的公司网络安全感兴趣,而且也有意获得那些机构ICS或SCADA系统的控制权。"F-Secure如是说。
Havex来自俄罗斯?
今年一月,网络安全公司CrowdStrike披露了一项被称为"Energetic Bear"的网络间谍活动,在这项活动中黑客们可能试图通过俄罗斯联邦渗透欧洲、美国和亚洲能源公司的计算机网络。据CrowStrke称,那些网络攻击中所用的恶意软件就是Havex RAT和SYSMain RAT,同时Havex RAT可能是SYSMain RAT的更新版,这两个工具至少在2011年就被攻击者使用过。
这就意味着,Havex RAT有可能以某种方式被俄罗斯黑客连接,或者由俄罗斯政府资助实施。
