Batavia Spyware

정교한 사이버 간첩 캠페인이 2024년 7월부터 러시아 조직을 적극적으로 표적으로 삼고 있습니다. 이 작전의 핵심에는 이전에 문서화되지 않은 바타비아라는 스파이웨어가 있는데, 이는 합법적인 계약 제안처럼 보이도록 설계된 사기성 이메일을 통해 배포됩니다.

감염 사슬: 이메일에서 간첩 활동까지

공격은 공격자가 제어하는 도메인인 oblast-ru.com에서 발송된 정교하게 제작된 피싱 이메일로 시작됩니다. 이 메시지에는 가짜 계약 서명 요청과 악성 링크가 포함되어 수신자를 유인합니다. 링크를 클릭하면 Visual Basic으로 인코딩된 스크립트(.VBE 파일)가 포함된 보관 파일이 다운로드됩니다.

스크립트가 실행되면 호스트 시스템에 대한 자세한 정보를 수집하여 원격 서버로 전송하는 정찰 활동을 수행합니다. 이를 통해 델파이로 작성된 실행 파일인 보조 페이로드가 다운로드됩니다.

델파이 맬웨어: 주의 산만 및 데이터 도난

델파이 기반 악성코드는 피해자의 접속을 유지하기 위해 위조된 계약서를 제시하는 것으로 보입니다. 이와 동시에, 다음과 같은 다양한 민감한 정보를 은밀하게 수집합니다.

• 시스템 로그 및 설치된 소프트웨어 정보
• Microsoft Office 및 기타 문서 유형(*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
• 호스트에 연결된 모든 이동식 장치의 스크린샷 및 데이터

이 악성코드의 기능은 여기서 끝나지 않습니다. 명령 및 제어 서버에서 추가 바이너리를 다운로드합니다. 이 파일은 더욱 다양한 파일 형식을 추출하여 유출하도록 설계되었습니다.

확장된 파일 수집 기능

2단계 바이너리는 도난당한 데이터의 범위를 크게 확장하여 다음을 포함합니다.

• 이미지 및 그래픽 파일: *.jpeg, *.jpg, *.cdr
• 이메일 및 텍스트 기반 콘텐츠: *.eml, *.csv, *.txt, *.rtf
• 프레젠테이션 및 아카이브: *.ppt, *.pptx, *.odp, *.rar, *.zip

수집된 모든 정보는 다른 도메인인 ru-exchange.com으로 유출되는데, 이 도메인은 4단계 실행 파일의 전달 지점 역할도 합니다. 이 알려지지 않은 구성 요소는 추가적인 악의적인 활동을 통해 공격 사슬을 지속할 가능성이 높습니다.

광범위한 영향 및 수집된 데이터

지난 한 해 동안 수십 개 기관에 걸쳐 100명 이상의 사용자가 이러한 피싱 메시지의 표적이 되었습니다. 최종 페이로드는 철저한 데이터 수집을 보장하여 개인 및 기업 문서뿐만 아니라 다음과 같은 정보도 유출합니다.

• 설치된 소프트웨어의 전체 인벤토리
• 장치 드라이버에 대한 정보
• 운영 체제 구성 요소 세부 정보

결론: 조직적이고 진화하는 간첩 위협

바타비아 스파이웨어 캠페인은 러시아 조직 보안에 대한 조직적이고 지속적인 위협을 보여줍니다. 다단계 감염 경로와 광범위한 파일 및 시스템 정보를 추출할 수 있는 능력은 바타비아를 강력한 스파이 도구로 만듭니다. 조직은 이러한 지능적이고 기만적인 공격으로부터 방어하기 위해 경계를 늦추지 않고 적극적인 보안 조치를 취해야 합니다.