Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare Batavia Spionprogramvare

Batavia Spionprogramvare

Med Mezo i Skadelig programvare, Spionprogramvare
Oversett til:

En sofistikert cyberspionasjekampanje har aktivt rettet seg mot russiske organisasjoner siden juli 2024. I kjernen av operasjonen står et tidligere udokumentert spionprogram ved navn Batavia, som distribueres gjennom villedende e-poster som er utformet for å fremstå som legitime kontraktstilbud.

Infeksjonskjeden: Fra e-post til spionasje

Angrepet starter med nøye utformede phishing-e-poster, sendt fra det angriperkontrollerte domenet oblast-ru.com. Disse meldingene lokker mottakerne med en falsk forespørsel om kontraktssignering og inkluderer en ondsinnet lenke. Ved å klikke på lenken starter nedlastingen av en arkivfil som inneholder et Visual Basic Encoded-skript (.VBE-fil).

Når skriptet er kjørt, utfører det rekognosering ved å samle inn detaljert informasjon om vertssystemet og overføre den til en ekstern server. Dette utløser nedlastingen av en sekundær nyttelast, en kjørbar fil skrevet i Delphi.

Delphi-skadevare: Distraksjon og datatyveri

Den Delphi-baserte skadevaren presenterer sannsynligvis en forfalsket kontrakt for å holde offeret engasjert. Samtidig samler den diskret inn en rekke sensitive opplysninger, inkludert:

  • Systemlogger og informasjon om installert programvare
  • Microsoft Office og andre dokumenttyper (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
  • Skjermbilder og data fra alle flyttbare enheter som er koblet til verten

Skadevarens funksjonalitet stopper ikke der. Den laster også ned en ekstra binærfil fra Command-and-Control-serveren sin. Denne filen er designet for å samle inn et enda bredere utvalg av filtyper for eksfiltrering.

Utvidede filsamlingsmuligheter

Andretrinns binærfil utvider omfanget av stjålne data betydelig til å inkludere:

  • Bilder og grafikkfiler: *.jpeg, *.jpg, *.cdr
  • E-poster og tekstbasert innhold: *.eml, *.csv, *.txt, *.rtf
  • Presentasjoner og arkiver: *.ppt, *.pptx, *.odp, *.rar, *.zip

All innsamlet informasjon blir eksfiltrert til et annet domene, ru-exchange.com, som også fungerer som leveringspunkt for en kjørbar fil i fjerde trinn. Denne ukjente komponenten fortsetter sannsynligvis angrepskjeden med ytterligere ondsinnede handlinger.

Utbredt innvirkning og innsamlede data

I løpet av det siste året har mer enn 100 brukere på tvers av flere titalls organisasjoner blitt mål for disse phishing-meldingene. Den endelige nyttelasten sikrer grundig datainnsamling, og fjerner ikke bare personlige og bedriftsdokumenter, men også:

  • En komplett oversikt over installert programvare
  • Informasjon om enhetsdrivere
  • Detaljer om operativsystemkomponenter

Konklusjon: En koordinert og utviklende spionasjetrussel

Batavia-spionprogramkampanjen gjenspeiler en koordinert og vedvarende trussel mot organisasjoners sikkerhet i Russland. Den flertrinns infeksjonskjeden, kombinert med dens evne til å trekke ut et bredt spekter av filer og systeminformasjon, markerer den som et formidabelt spionasjeverktøy. Organisasjoner må forbli årvåkne og iverksette proaktive sikkerhetstiltak for å forsvare seg mot slike avanserte, villedende angrep.

Trender

E-postsvindel med kompensasjonsutbetalinger fra...

Phishing, Rogue nettsteder, Spam
I en tid der digitale transaksjoner og finansielle tjenester på nett dominerer, må brukerne være årvåkne mot stadig mer sofistikerte cybersvindelforsøk. En alarmerende svindelmetode identifisert av cybersikkerhetsanalytikere er Blockchain.com Compensation Payments Scam. Forkledd med profesjonell design og overbevisende fortellinger, manipulerer denne svindelen ofrene til å avsløre personlig...

Mest sett

Laster inn...