Rabattilbud med flere licenser
Trusseldatabase Malware Batavia Spyware

Batavia Spyware

Med Mezo i Malware, Spyware
Oversæt til:

En sofistikeret cyberspionagekampagne har aktivt været rettet mod russiske organisationer siden juli 2024. Kernen i operationen er en hidtil udokumenteret spyware ved navn Batavia, der anvendes via vildledende e-mails, der er designet til at fremstå som legitime kontrakttilbud.

Infektionskæden: Fra e-mail til spionage

Angrebet starter med omhyggeligt udformede phishing-e-mails, sendt fra det angriberkontrollerede domæne oblast-ru.com. Disse beskeder lokker modtagere med en falsk anmodning om kontraktunderskrift og indeholder et ondsindet link. Klik på linket starter download af en arkivfil, der indeholder et Visual Basic Encoded script (.VBE-fil).

Når scriptet er udført, udfører det rekognoscering ved at indsamle detaljerede oplysninger om værtssystemet og sende dem til en fjernserver. Dette udløser download af en sekundær nyttelast, en eksekverbar fil skrevet i Delphi.

Delphi Malware: Distraktion og datatyveri

Den Delphi-baserede malware præsenterer sandsynligvis en forfalsket kontrakt for at holde offeret engageret. Samtidig indsamler den diskret en række følsomme oplysninger, herunder:

  • Systemlogfiler og oplysninger om installeret software
  • Microsoft Office og andre dokumenttyper (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
  • Skærmbilleder og data fra alle flytbare enheder, der er tilsluttet værten

Malwarens funktionalitet stopper ikke der. Den downloader også en ekstra binær fil fra sin Command-and-Control-server. Denne fil er designet til at indsamle et endnu bredere udvalg af filtyper til eksfiltrering.

Udvidede filindsamlingsmuligheder

Den anden fase af binærfilen udvider omfanget af stjålne data betydeligt til at omfatte:

  • Billeder og grafikfiler: *.jpeg, *.jpg, *.cdr
  • E-mails og tekstbaseret indhold: *.eml, *.csv, *.txt, *.rtf
  • Præsentationer og arkiver: *.ppt, *.pptx, *.odp, *.rar, *.zip

Alle indsamlede oplysninger bliver eksfiltreret til et andet domæne, ru-exchange.com, som også fungerer som leveringspunkt for en eksekverbar fil i fjerde fase. Denne ukendte komponent fortsætter sandsynligvis angrebskæden med yderligere ondsindede handlinger.

Udbredt effekt og indsamlede data

I løbet af det seneste år har mere end 100 brugere på tværs af flere dusin organisationer været mål for disse phishing-beskeder. Den endelige dataindsamling sikrer grundig dataindsamling, der ikke kun fjerner personlige og virksomhedsdokumenter, men også:

  • En komplet oversigt over installeret software
  • Oplysninger om enhedsdrivere
  • Detaljer om operativsystemkomponenter

Konklusion: En koordineret og udviklende spionagetrussel

Batavia-spywarekampagnen afspejler en koordineret og vedvarende trussel mod organisationers sikkerhed i Rusland. Den flertrinsige infektionskæde kombineret med dens evne til at udtrække et bredt spektrum af filer og systeminformation markerer den som et formidabelt spionageværktøj. Organisationer skal forblive årvågne og implementere proaktive sikkerhedsforanstaltninger for at forsvare sig mod sådanne avancerede, vildledende angreb.

Trending

Blockchain.com kompensationsbetalinger e-mail-svindel

Phishing, Rogue websteder, Spam
I en tid, hvor digitale transaktioner og online finansielle tjenester dominerer, skal brugerne forblive årvågne over for stadig mere sofistikerede cybersvindelnumre. En alarmerende svindelordning identificeret af cybersikkerhedsanalytikere er Blockchain.com Compensation Payments Scam. Forklædt med professionelt design og overbevisende fortællinger manipulerer denne svindel ofre til at afsløre...

Mest sete

Indlæser...