Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara Batavia nuhkvara

Batavia nuhkvara

Aastaks Mezo aastal Pahavara, Nuhkvara
Tõlgi:

Keerukas küberspionaažikampaania on alates 2024. aasta juulist aktiivselt sihikule võtnud Venemaa organisatsioonid. Operatsiooni keskmes on varem dokumenteerimata nuhkvara nimega Batavia, mida levitatakse petlike meilide kaudu, mis on loodud näima seaduslike lepingupakkumistena.

Nakkusahel: e-kirjast spionaažini

Rünnak algab hoolikalt koostatud andmepüügikirjadega, mis saadetakse ründaja kontrollitud domeenilt oblast-ru.com. Need sõnumid meelitavad saajaid võltsitud lepingu allkirjastamise taotlusega ja sisaldavad pahatahtlikku linki. Lingile klõpsamine käivitab Visual Basic Encoded skripti (.VBE-fail) sisaldava arhiivifaili allalaadimise.

Pärast käivitamist teostab skript luure, kogudes hostsüsteemi kohta üksikasjalikku teavet ja edastades selle kaugserverisse. See käivitab teisese kasuliku faili, Delphis kirjutatud käivitatava faili, allalaadimise.

Delphi pahavara: tähelepanu hajutamine ja andmete vargus

Delphi-põhine pahavara esitab ohvri kaasamiseks tõenäoliselt võltsitud lepingu. Samal ajal kogub see diskreetselt mitmesugust tundlikku teavet, sealhulgas:

  • Süsteemilogid ja installitud tarkvara teave
  • Microsoft Office ja muud dokumenditüübid (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
  • Ekraanipildid ja andmed kõigilt hostiga ühendatud eemaldatavatelt seadmetelt

Pahavara funktsionaalsus sellega ei piirdu. See laadib oma Command-and-Control serverist alla ka täiendava binaarfaili. See fail on loodud veelgi laiema hulga failitüüpide kogumiseks ja väljafiltreerimiseks.

Laiendatud failide kogumise võimalused

Teise etapi binaarfail laiendab varastatud andmete ulatust märkimisväärselt, hõlmates järgmist:

  • Pildid ja graafikafailid: *.jpeg, *.jpg, *.cdr
  • Meilid ja tekstipõhine sisu: *.eml, *.csv, *.txt, *.rtf
  • Esitlused ja arhiivid: *.ppt, *.pptx, *.odp, *.rar, *.zip

Kogu kogutud teave filtreeritakse teisele domeenile, ru-exchange.com, mis toimib ka neljanda etapi käivitatava faili edastuspunktina. See tundmatu komponent jätkab tõenäoliselt rünnakuahelat edasiste pahatahtlike toimingutega.

Laialdane mõju ja kogutud andmed

Viimase aasta jooksul on nende andmepüügisõnumite sihtmärgiks olnud enam kui 100 kasutajat mitmekümnes organisatsioonis. Lõplik ressurss tagab põhjaliku andmete kogumise, välja filtreerides lisaks isiklikele ja ettevõtte dokumentidele ka:

  • Täielik installitud tarkvara inventuur
  • Teave seadme draiverite kohta
  • Operatsioonisüsteemi komponentide üksikasjad

Kokkuvõte: koordineeritud ja arenev spionaažioht

Batavia nuhkvarakampaania peegeldab koordineeritud ja püsivat ohtu organisatsioonide turvalisusele Venemaal. Mitmeastmeline nakatumisahel koos võimega hankida laia valikut faile ja süsteemiteavet teeb sellest võimsa spionaaživahendi. Organisatsioonid peavad jääma valvsaks ja võtma ennetavaid turvameetmeid, et kaitsta end selliste keerukate ja petlike rünnakute eest.

Trendikas

Blockchain.com hüvitiste maksmise e-posti pettus

Andmepüük, Rogue veebisaidid, Rämpspost
Ajastul, kus domineerivad digitaalsed tehingud ja veebipõhised finantsteenused, peavad kasutajad olema valvsad üha keerukamate küberpettuste suhtes. Üks küberturvalisuse analüütikute tuvastatud murettekitav skeem on Blockchain.com hüvitiste maksmise pettus. Professionaalse kujunduse ja veenvate narratiividega varjatud pettus manipuleerib ohvritega isikuandmeid avaldama ja makseid tegema valede...

Enim vaadatud

Laadimine...