Špijunski softver Batavije
Sofisticirana kampanja kibernetičke špijunaže aktivno cilja ruske organizacije od srpnja 2024. U središtu operacije je prethodno nedokumentirani špijunski softver pod nazivom Batavia, koji se distribuira putem obmanjujućih e-poruka osmišljenih da izgledaju kao legitimne ponude ugovora.
Sadržaj
Lanac zaraze: od e-pošte do špijunaže
Napad započinje pažljivo izrađenim phishing e-porukama poslanim s domene oblast-ru.com kojom upravlja napadač. Ove poruke mame primatelje lažnim zahtjevom za potpisivanje ugovora i uključuju zlonamjernu poveznicu. Klikom na poveznicu pokreće se preuzimanje arhivske datoteke koja sadrži Visual Basic Encoded skriptu (.VBE datoteka).
Nakon izvršenja, skripta provodi izviđanje prikupljanjem detaljnih informacija o host sustavu i njihovim slanjem na udaljeni poslužitelj. To pokreće preuzimanje sekundarnog korisnog tereta, izvršne datoteke napisane u Delphiju.
Delphi Malware: Ometanje i krađa podataka
Zlonamjerni softver temeljen na Delphiju vjerojatno nudi krivotvoreni ugovor kako bi žrtvu zadržao u kontaktu. U međuvremenu, diskretno prikuplja razne osjetljive informacije, uključujući:
- Sistemski zapisnici i informacije o instaliranom softveru
- Microsoft Office i ostale vrste dokumenata (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
- Snimke zaslona i podaci s bilo kojih prijenosnih uređaja povezanih s hostom
Funkcionalnost zlonamjernog softvera tu ne završava. On također preuzima dodatnu binarnu datoteku sa svog Command-and-Control servera. Ova je datoteka dizajnirana za prikupljanje još šireg niza vrsta datoteka za krađu.
Proširene mogućnosti prikupljanja datoteka
Binarni fajl druge faze značajno proširuje opseg ukradenih podataka i uključuje:
- Slike i grafičke datoteke: *.jpeg, *.jpg, *.cdr
- E-poruke i tekstualni sadržaj: *.eml, *.csv, *.txt, *.rtf
- Prezentacije i arhive: *.ppt, *.pptx, *.odp, *.rar, *.zip
Sve prikupljene informacije se prenose na drugu domenu, ru-exchange.com, koja također služi kao točka isporuke za izvršnu datoteku četvrte faze. Ova nepoznata komponenta vjerojatno nastavlja lanac napada daljnjim zlonamjernim radnjama.
Široko rasprostranjeni utjecaj i prikupljeni podaci
Tijekom protekle godine, više od 100 korisnika u nekoliko desetaka organizacija bilo je meta ovih phishing poruka. Konačni sadržaj osigurava temeljito prikupljanje podataka, izvlačeći ne samo osobne i korporativne dokumente već i:
- Potpuni popis instaliranog softvera
- Informacije o upravljačkim programima uređaja
- Detalji komponenti operacijskog sustava
Zaključak: Koordinirana i rastuća prijetnja špijunaže
Špijunska kampanja Batavia odražava koordiniranu i trajnu prijetnju organizacijskoj sigurnosti u Rusiji. Višestupanjski lanac infekcije, zajedno s sposobnošću izdvajanja širokog spektra datoteka i sistemskih obavještajnih podataka, označava ga kao snažan alat za špijunažu. Organizacije moraju ostati budne i usvojiti proaktivne sigurnosne mjere kako bi se obranile od takvih naprednih, obmanjujućih napada.
