Batavia spiegprogrammatūra
Kopš 2024. gada jūlija Krievijas organizācijas ir aktīvi vērptas pret sarežģītu kiberizlūkošanas kampaņu. Operācijas centrā ir iepriekš nedokumentēta spiegprogrammatūra ar nosaukumu Batavia, kas tiek izvietota, izmantojot maldinošus e-pastus, kas izstrādāti tā, lai tie izskatītos pēc likumīgiem līguma piedāvājumiem.
Satura rādītājs
Infekcijas ķēde: no e-pasta līdz spiegošanai
Uzbrukums sākas ar rūpīgi izstrādātiem pikšķerēšanas e-pastiem, kas tiek nosūtīti no uzbrucēja kontrolētā domēna oblast-ru.com. Šie ziņojumi pievilina adresātus ar viltotu līguma parakstīšanas pieprasījumu un ietver ļaunprātīgu saiti. Noklikšķinot uz saites, tiek lejupielādēts arhīva fails, kas satur Visual Basic kodētu skriptu (.VBE fails).
Kad skripts ir izpildīts, tas veic izlūkošanu, apkopojot detalizētu informāciju par resursdatora sistēmu un nosūtot to uz attālo serveri. Tas aktivizē sekundārā vērtuma — Delphi valodā rakstīta izpildāmā faila — lejupielādi.
Delphi ļaunprogrammatūra: uzmanības novēršana un datu zādzība
Delphi bāzētā ļaunprogrammatūra, visticamāk, piedāvā viltotu līgumu, lai noturētu upura uzmanību. Tikmēr tā diskrēti vāc dažādu sensitīvu informāciju, tostarp:
- Sistēmas žurnāli un instalētās programmatūras informācija
- Microsoft Office un citi dokumentu tipi (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
- Ekrānuzņēmumi un dati no visām noņemamajām ierīcēm, kas ir pievienotas resursdatoram
Ļaunprogrammatūras funkcionalitāte ar to nebeidzas. Tā no sava Command-and-Control servera lejupielādē arī papildu bināro failu. Šis fails ir paredzēts vēl plašāka failu tipu klāsta vākšanai eksfiltrācijai.
Paplašinātas failu kolekcijas iespējas
Otrā posma binārais fails ievērojami paplašina nozagto datu loku, iekļaujot:
- Attēli un grafiskie faili: *.jpeg, *.jpg, *.cdr
- E-pasti un teksta saturs: *.eml, *.csv, *.txt, *.rtf
- Prezentācijas un arhīvi: *.ppt, *.pptx, *.odp, *.rar, *.zip
Visa apkopotā informācija tiek filtrēta uz citu domēnu ru-exchange.com, kas kalpo arī kā ceturtā posma izpildāmā faila piegādes punkts. Šis nezināmais komponents, visticamāk, turpina uzbrukuma ķēdi ar turpmākām ļaunprātīgām darbībām.
Plaša ietekme un apkopotie dati
Pēdējā gada laikā šie pikšķerēšanas ziņojumi ir vērsti pret vairāk nekā 100 lietotājiem vairākās desmitos organizāciju. Galīgā lietderīgā slodze nodrošina rūpīgu datu ievākšanu, izfiltrējot ne tikai personiskos un korporatīvos dokumentus, bet arī:
- Pilnīgs instalētās programmatūras inventārs
- Informācija par ierīču draiveriem
- Operētājsistēmas komponentu informācija
Secinājums: Koordinēts un mainīgs spiegošanas drauds
Batavia spiegprogrammatūras kampaņa atspoguļo koordinētu un pastāvīgu draudu organizāciju drošībai Krievijā. Daudzpakāpju inficēšanas ķēde apvienojumā ar spēju iegūt plašu failu spektru un sistēmas informāciju to raksturo kā spēcīgu spiegošanas rīku. Organizācijām ir jāpaliek modrām un jāievieš proaktīvi drošības pasākumi, lai aizsargātos pret šādiem progresīviem, maldinošiem uzbrukumiem.
