Batavia šnipinėjimo programa
Nuo 2024 m. liepos mėn. Rusijos organizacijos aktyviai taikosi į sudėtingą kibernetinio šnipinėjimo kampaniją. Operacijos centre – anksčiau nedokumentuota šnipinėjimo programa „Batavia“, kuri dislokuojama per apgaulingus el. laiškus, sukurtus taip, kad atrodytų kaip teisėti sutarčių pasiūlymai.
Turinys
Infekcijos grandinė: nuo el. pašto iki šnipinėjimo
Ataka prasideda kruopščiai parengtais sukčiavimo el. laiškais, siunčiamais iš užpuoliko kontroliuojamo domeno oblast-ru.com. Šie laiškai vilioja gavėjus netikra sutarties pasirašymo užklausa ir kenkėjiška nuoroda. Paspaudus nuorodą, pradedamas archyvo failo, kuriame yra „Visual Basic Encoded“ scenarijus (.VBE failas), atsisiuntimas.
Paleidus scenarijų, jis atlieka žvalgybą, rinkdamas išsamią informaciją apie pagrindinę sistemą ir perduodamas ją į nuotolinį serverį. Tai suaktyvina antrinės naudingosios apkrovos, vykdomojo failo, parašyto „Delphi“ kalba, atsisiuntimą.
„Delphi“ kenkėjiška programa: dėmesio blaškymas ir duomenų vagystė
„Delphi“ pagrindu sukurta kenkėjiška programa greičiausiai pateikia suklastotą sutartį, kad išlaikytų aukos susidomėjimą. Tuo tarpu ji diskretiškai renka įvairią neskelbtiną informaciją, įskaitant:
- Sistemos žurnalai ir įdiegtos programinės įrangos informacija
- „Microsoft Office“ ir kitų tipų dokumentai (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
- Ekrano kopijos ir duomenys iš bet kokių prie pagrindinio kompiuterio prijungtų išimamų įrenginių
Kenkėjiškos programos funkcionalumas tuo nesibaigia. Ji taip pat atsisiunčia papildomą dvejetainį failą iš savo „Command-and-Control“ serverio. Šis failas skirtas surinkti dar platesnį failų tipų asortimentą ir jį išfiltruoti.
Išplėstos failų rinkimo galimybės
Antrojo etapo dvejetainis failas žymiai išplečia pavogtų duomenų apimtį, įtraukdamas:
- Vaizdai ir grafiniai failai: *.jpeg, *.jpg, *.cdr
- El. laiškai ir tekstinis turinys: *.eml, *.csv, *.txt, *.rtf
- Pristatymai ir archyvai: *.ppt, *.pptx, *.odp, *.rar, *.zip
Visa surinkta informacija yra filtruojama į kitą domeną – ru-exchange.com, kuris taip pat yra ketvirtojo etapo vykdomojo failo pristatymo taškas. Šis nežinomas komponentas greičiausiai tęsia atakų grandinę tolesniais kenkėjiškais veiksmais.
Platus poveikis ir surinkti duomenys
Per pastaruosius metus šiomis sukčiavimo žinutėmis buvo siekiama apšaukti daugiau nei 100 vartotojų iš kelių dešimčių organizacijų. Galutinis duomenų paketas užtikrina kruopštų duomenų rinkimą, išfiltruojant ne tik asmeninius ir įmonės dokumentus, bet ir:
- Išsamus įdiegtos programinės įrangos sąrašas
- Informacija apie įrenginių tvarkykles
- Operacinės sistemos komponentų informacija
Išvada: Koordinuota ir besivystanti šnipinėjimo grėsmė
Šnipinėjimo programų kampanija „Batavia“ atspindi koordinuotą ir nuolatinę grėsmę organizacijų saugumui Rusijoje. Daugiapakopė užkrėtimo grandinė ir gebėjimas išgauti platų failų spektrą bei sistemos žvalgybos duomenis daro ją grėsmingu šnipinėjimo įrankiu. Organizacijos privalo išlikti budrios ir imtis aktyvių saugumo priemonių, kad apsigintų nuo tokių pažangių, apgaulingų atakų.
