Оферта за отстъпка за множество лицензи
База данни за заплахи Зловреден софтуер Шпионски софтуер в Батавия

Шпионски софтуер в Батавия

До Mezo през Зловреден софтуер, Шпионски софтуерг
Превод на:

Сложна кибершпионска кампания е активно насочена към руски организации от юли 2024 г. В основата на операцията е недокументиран досега шпионски софтуер, наречен Batavia, който се внедрява чрез подвеждащи имейли, предназначени да изглеждат като легитимни оферти за договори.

Веригата на заразяване: от имейл до шпионаж

Атаката започва с внимателно съставени фишинг имейли, изпратени от контролирания от нападателя домейн oblast-ru.com. Тези съобщения примамват получателите с фалшива заявка за подписване на договор и включват злонамерен линк. Щракването върху линка инициира изтеглянето на архивен файл, съдържащ Visual Basic Encoded скрипт (.VBE файл).

След изпълнение, скриптът извършва разузнаване, като събира подробна информация за хост системата и я предава на отдалечен сървър. Това задейства изтеглянето на вторичен полезен товар – изпълним файл, написан на Delphi.

Зловреден софтуер Delphi: Разсейване и кражба на данни

Зловредният софтуер, базиран на Delphi, вероятно предлага фалшив договор, за да ангажира жертвата. Междувременно дискретно събира разнообразна чувствителна информация, включително:

  • Системни лог файлове и информация за инсталиран софтуер
  • Microsoft Office и други типове документи (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
  • Снимки на екрана и данни от всички сменяеми устройства, свързани към хоста

Функционалността на зловредния софтуер не свършва дотук. Той също така изтегля допълнителен двоичен файл от своя Command-and-Control сървър. Този файл е предназначен да събира още по-широк набор от файлови типове за кражба.

Разширени възможности за събиране на файлове

Вторият етап на двоичния файл значително разширява обхвата на откраднатите данни, като включва:

  • Изображения и графични файлове: *.jpeg, *.jpg, *.cdr
  • Имейли и текстово съдържание: *.eml, *.csv, *.txt, *.rtf
  • Презентации и архиви: *.ppt, *.pptx, *.odp, *.rar, *.zip

Цялата събрана информация се прехвърля в друг домейн, ru-exchange.com, който служи и като точка за доставка на изпълним файл от четвърти етап. Този неизвестен компонент вероятно продължава веригата на атаките с по-нататъшни злонамерени действия.

Широко разпространено въздействие и събрани данни

През последната година повече от 100 потребители в няколко десетки организации са били атакувани с тези фишинг съобщения. Крайният полезен товар осигурява цялостно събиране на данни, като извлича не само лични и корпоративни документи, но и:

  • Пълен списък с инсталиран софтуер
  • Информация за драйверите на устройства
  • Подробности за компонентите на операционната система

Заключение: Координирана и развиваща се шпионска заплаха

Кампанията със шпионския софтуер Batavia отразява координирана и постоянна заплаха за организационната сигурност в Русия. Многоетапната верига на заразяване, съчетана със способността му да извлича широк спектър от файлове и системна информация, го определя като сериозен шпионски инструмент. Организациите трябва да останат бдителни и да предприемат проактивни мерки за сигурност, за да се защитят от подобни напреднали, измамни атаки.

Тенденция

Измама с имейли за компенсации на Blockchain.com

Фишинг, Измамни уебсайтове, Спам
В ерата, в която доминират дигиталните транзакции и онлайн финансовите услуги, потребителите трябва да бъдат бдителни срещу все по-сложни кибер измами. Една тревожна схема, идентифицирана от анализатори по киберсигурност, е измамата с компенсационни плащания Blockchain.com. Прикрита с професионален дизайн и убедителни разкази, тази измама манипулира жертвите да разкриват лична информация и да...

Зловреден софтуер BEARDSHELL

Зловреден софтуер, Усъвършенствана постоянна заплаха (APT), Задни врати
Екипът за реагиране при компютърни аварии на Украйна (CERT-UA) издаде предупреждение за нова кибератака, организирана от APT28, група за кибератаки, свързана с Русия и известна още като UAC-0001....

Най-гледан

Зареждане...