Batavia Spyware
जुलाई २०२४ देखि एक परिष्कृत साइबर-जासूसी अभियान सक्रिय रूपमा रूसी संस्थाहरूलाई लक्षित गर्दै आएको छ। यस अपरेशनको केन्द्रमा बटाभिया नामक पहिले कागजात नगरिएको स्पाइवेयर छ, जुन वैध सम्झौता प्रस्तावको रूपमा देखा पर्न डिजाइन गरिएको भ्रामक इमेलहरू मार्फत तैनाथ गरिएको छ।
सामग्रीको तालिका
संक्रमण शृङ्खला: इमेलदेखि जासुसीसम्म
आक्रमणकारी-नियन्त्रित डोमेन oblast-ru.com बाट पठाइएका सावधानीपूर्वक तयार पारिएका फिसिङ इमेलहरूबाट आक्रमण सुरु हुन्छ। यी सन्देशहरूले प्राप्तकर्ताहरूलाई नक्कली सम्झौता हस्ताक्षर अनुरोधको साथ लोभ्याउँछन् र यसमा दुर्भावनापूर्ण लिङ्क समावेश हुन्छ। लिङ्कमा क्लिक गर्नाले भिजुअल बेसिक एन्कोडेड स्क्रिप्ट (.VBE फाइल) भएको अभिलेख फाइलको डाउनलोड सुरु हुन्छ।
एकपटक कार्यान्वयन भएपछि, स्क्रिप्टले होस्ट प्रणालीको बारेमा विस्तृत जानकारी सङ्कलन गरेर र यसलाई रिमोट सर्भरमा प्रसारण गरेर जासूसी कार्य गर्दछ। यसले डेल्फीमा लेखिएको एक्जिक्युटेबल, माध्यमिक पेलोडको डाउनलोडलाई ट्रिगर गर्दछ।
डेल्फी मालवेयर: ध्यान भंग र डेटा चोरी
डेल्फी-आधारित मालवेयरले पीडितलाई व्यस्त राख्नको लागि नक्कली सम्झौता प्रस्तुत गर्ने सम्भावना हुन्छ। यसैबीच, यसले गोप्य रूपमा विभिन्न संवेदनशील जानकारी सङ्कलन गर्दछ जसमा समावेश छन्:
- प्रणाली लग र स्थापित सफ्टवेयर जानकारी
- माइक्रोसफ्ट अफिस र अन्य कागजात प्रकारहरू (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
- होस्टमा जडान गरिएका कुनै पनि हटाउन सकिने उपकरणहरूबाट स्क्रिनसटहरू र डेटा
मालवेयरको कार्यक्षमता यतिमा मात्र सीमित छैन। यसले यसको कमाण्ड-एन्ड-कन्ट्रोल सर्भरबाट थप बाइनरी पनि डाउनलोड गर्छ। यो फाइल एक्सफिल्ट्रेसनको लागि फाइल प्रकारहरूको अझ फराकिलो एरे हासिल गर्न डिजाइन गरिएको हो।
विस्तारित फाइल सङ्कलन क्षमताहरू
दोस्रो-चरणको बाइनरीले चोरी भएको डेटाको दायरालाई उल्लेखनीय रूपमा विस्तार गर्दछ जसमा समावेश छन्:
- छविहरू र ग्राफिकल फाइलहरू: *.jpeg, *.jpg, *.cdr
- इमेल र पाठमा आधारित सामग्री: *.eml, *.csv, *.txt, *.rtf
- प्रस्तुतीकरण र अभिलेखहरू: *.ppt, *.pptx, *.odp, *.rar, *.zip
सबै सङ्कलन गरिएको जानकारी फरक डोमेन, ru-exchange.com मा एक्सफिल्टर गरिन्छ, जसले चौथो-चरण कार्यान्वयनयोग्यको लागि डेलिभरी बिन्दुको रूपमा पनि काम गर्दछ। यो अज्ञात कम्पोनेन्टले थप दुर्भावनापूर्ण कार्यहरू सहित आक्रमण श्रृंखलालाई निरन्तरता दिन्छ।
व्यापक प्रभाव र सङ्कलन गरिएको तथ्याङ्क
विगत एक वर्षमा, धेरै दर्जन संस्थाहरूका १०० भन्दा बढी प्रयोगकर्ताहरूलाई यी फिसिङ सन्देशहरूले लक्षित गरेका छन्। अन्तिम पेलोडले पूर्ण डेटा सङ्कलन सुनिश्चित गर्दछ, व्यक्तिगत र कर्पोरेट कागजातहरू मात्र नभई निम्न कुराहरू पनि बाहिर निकाल्छ:
- स्थापित सफ्टवेयरको पूर्ण सूची
- उपकरण चालकहरूको बारेमा जानकारी
- अपरेटिङ सिस्टम कम्पोनेन्ट विवरणहरू
निष्कर्ष: एक समन्वित र विकसित जासुसी खतरा
बाटाभिया स्पाइवेयर अभियानले रूसमा संगठनात्मक सुरक्षाको लागि समन्वित र निरन्तर खतरालाई प्रतिबिम्बित गर्दछ। बहु-चरण संक्रमण श्रृंखला, फाइलहरू र प्रणाली बुद्धिमत्ताको विस्तृत स्पेक्ट्रम निकाल्ने क्षमतासँग जोडिएको, यसलाई एक शक्तिशाली जासुसी उपकरणको रूपमा चिन्ह लगाउँछ। यस्ता उन्नत, भ्रामक आक्रमणहरू विरुद्ध बचाउन संस्थाहरूले सतर्क रहनुपर्छ र सक्रिय सुरक्षा उपायहरू अपनाउनुपर्छ।
