Λογισμικό κατασκοπείας Batavia
Μια εξελιγμένη εκστρατεία κυβερνοκατασκοπείας στοχεύει ενεργά ρωσικούς οργανισμούς από τον Ιούλιο του 2024. Στο επίκεντρο της επιχείρησης βρίσκεται ένα προηγουμένως μη καταγεγραμμένο λογισμικό κατασκοπείας με το όνομα Batavia, το οποίο αναπτύσσεται μέσω παραπλανητικών email που έχουν σχεδιαστεί για να εμφανίζονται ως νόμιμες προσφορές συμβάσεων.
Πίνακας περιεχομένων
Η αλυσίδα της μόλυνσης: Από το ηλεκτρονικό ταχυδρομείο στην κατασκοπεία
Η επίθεση ξεκινά με προσεκτικά σχεδιασμένα email ηλεκτρονικού "ψαρέματος" (phishing), τα οποία αποστέλλονται από τον τομέα oblast-ru.com που ελέγχεται από τον εισβολέα. Αυτά τα μηνύματα παρασύρουν τους παραλήπτες με ένα ψεύτικο αίτημα υπογραφής σύμβασης και περιλαμβάνουν έναν κακόβουλο σύνδεσμο. Κάνοντας κλικ στον σύνδεσμο ξεκινά η λήψη ενός αρχείου αρχειοθέτησης που περιέχει ένα σενάριο Visual Basic Encoded (αρχείο .VBE).
Μόλις εκτελεστεί, το σενάριο εκτελεί αναγνώριση συλλέγοντας λεπτομερείς πληροφορίες σχετικά με το σύστημα υποδοχής και μεταδίδοντάς τις σε έναν απομακρυσμένο διακομιστή. Αυτό ενεργοποιεί τη λήψη ενός δευτερεύοντος ωφέλιμου φορτίου, ενός εκτελέσιμου αρχείου γραμμένου σε Delphi.
Κακόβουλο λογισμικό Delphi: Απόσπαση προσοχής και κλοπή δεδομένων
Το κακόβουλο λογισμικό που βασίζεται στο Delphi πιθανότατα παρουσιάζει ένα πλαστό συμβόλαιο για να κρατήσει το θύμα αφοσιωμένο. Εν τω μεταξύ, συλλέγει διακριτικά μια ποικιλία ευαίσθητων πληροφοριών, όπως:
- Αρχεία καταγραφής συστήματος και πληροφορίες εγκατεστημένου λογισμικού
- Microsoft Office και άλλοι τύποι εγγράφων (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
- Στιγμιότυπα οθόνης και δεδομένα από τυχόν αφαιρούμενες συσκευές που είναι συνδεδεμένες στον κεντρικό υπολογιστή
Η λειτουργικότητα του κακόβουλου λογισμικού δεν τελειώνει εκεί. Επίσης, κατεβάζει ένα επιπλέον δυαδικό αρχείο από τον διακομιστή Command-and-Control. Αυτό το αρχείο έχει σχεδιαστεί για να συλλέγει μια ακόμη ευρύτερη γκάμα τύπων αρχείων για εξαγωγή.
Εκτεταμένες δυνατότητες συλλογής αρχείων
Το δυαδικό αρχείο δεύτερου σταδίου επεκτείνει σημαντικά το εύρος των κλεμμένων δεδομένων ώστε να περιλαμβάνει:
- Εικόνες και γραφικά αρχεία: *.jpeg, *.jpg, *.cdr
- Ηλεκτρονικά μηνύματα ηλεκτρονικού ταχυδρομείου και περιεχόμενο με βάση κείμενο: *.eml, *.csv, *.txt, *.rtf
- Παρουσιάσεις και αρχεία: *.ppt, *.pptx, *.odp, *.rar, *.zip
Όλες οι συλλεγόμενες πληροφορίες μεταφέρονται σε διαφορετικό τομέα, το ru-exchange.com, το οποίο χρησιμεύει επίσης ως σημείο παράδοσης για ένα εκτελέσιμο αρχείο τέταρτου σταδίου. Αυτό το άγνωστο στοιχείο πιθανότατα συνεχίζει την αλυσίδα της επίθεσης με περαιτέρω κακόβουλες ενέργειες.
Ευρεία επίδραση και συλλεγόμενα δεδομένα
Τον τελευταίο χρόνο, περισσότεροι από 100 χρήστες σε αρκετές δεκάδες οργανισμούς έχουν γίνει στόχος αυτών των μηνυμάτων ηλεκτρονικού "ψαρέματος" (phishing). Το τελικό φορτίο διασφαλίζει την πλήρη συλλογή δεδομένων, αποσπώντας όχι μόνο προσωπικά και εταιρικά έγγραφα, αλλά και:
- Πλήρης απογραφή εγκατεστημένου λογισμικού
- Πληροφορίες σχετικά με τα προγράμματα οδήγησης συσκευών
- Λεπτομέρειες στοιχείων λειτουργικού συστήματος
Συμπέρασμα: Μια συντονισμένη και εξελισσόμενη απειλή κατασκοπείας
Η εκστρατεία κατασκοπείας Batavia αντικατοπτρίζει μια συντονισμένη και επίμονη απειλή για την οργανωσιακή ασφάλεια στη Ρωσία. Η αλυσίδα μόλυνσης σε πολλαπλά στάδια, σε συνδυασμό με την ικανότητά της να εξάγει ένα ευρύ φάσμα αρχείων και πληροφοριών συστήματος, την καθιστά ένα τρομερό εργαλείο κατασκοπείας. Οι οργανισμοί πρέπει να παραμένουν σε εγρήγορση και να υιοθετούν προληπτικά μέτρα ασφαλείας για να αμυνθούν έναντι τέτοιων προηγμένων, παραπλανητικών επιθέσεων.
