Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Oprogramowanie szpiegujące Batavia

Oprogramowanie szpiegujące Batavia

Do Mezo w Złośliwe oprogramowanie, Oprogramowanie szpiegujące
Przetłumacz na:

Od lipca 2024 roku rosyjskie organizacje są aktywnie atakowane przez zaawansowaną kampanię cybernetycznego szpiegostwa. W centrum operacji znajduje się wcześniej nieudokumentowany program szpiegujący o nazwie Batavia, który jest rozsyłany za pośrednictwem oszukańczych wiadomości e-mail, które mają przypominać legalne oferty kontraktowe.

Łańcuch infekcji: od poczty elektronicznej do szpiegostwa

Atak rozpoczyna się od starannie spreparowanych wiadomości e-mail typu phishing, wysyłanych z domeny oblast-ru.com, kontrolowanej przez atakującego. Wiadomości te wabią odbiorców fałszywym żądaniem podpisania umowy i zawierają złośliwy link. Kliknięcie linku inicjuje pobranie pliku archiwum zawierającego skrypt zakodowany w języku Visual Basic (plik .VBE).

Po uruchomieniu skrypt przeprowadza rozpoznanie, zbierając szczegółowe informacje o systemie hosta i przesyłając je do zdalnego serwera. Powoduje to pobranie dodatkowego ładunku – pliku wykonywalnego napisanego w Delphi.

Malware Delphi: rozproszenie uwagi i kradzież danych

Szkodliwe oprogramowanie oparte na Delphi prawdopodobnie przedstawia sfałszowany kontrakt, aby utrzymać zainteresowanie ofiary. Jednocześnie dyskretnie gromadzi szereg poufnych informacji, w tym:

  • Rejestry systemowe i informacje o zainstalowanym oprogramowaniu
  • Microsoft Office i inne typy dokumentów (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
  • Zrzuty ekranu i dane z dowolnych urządzeń wymiennych podłączonych do hosta

Funkcjonalność złośliwego oprogramowania na tym się nie kończy. Pobiera ono również dodatkowy plik binarny ze swojego serwera Command-and-Control. Plik ten ma na celu gromadzenie jeszcze szerszego wachlarza typów plików do eksfiltracji.

Rozszerzone możliwości gromadzenia plików

Drugi etap kodu binarnego znacznie rozszerza zakres skradzionych danych, obejmując:

  • Obrazy i pliki graficzne: *.jpeg, *.jpg, *.cdr
  • Wiadomości e-mail i treści tekstowe: *.eml, *.csv, *.txt, *.rtf
  • Prezentacje i archiwa: *.ppt, *.pptx, *.odp, *.rar, *.zip

Wszystkie zebrane informacje są przesyłane do innej domeny, ru-exchange.com, która służy również jako punkt dostarczania pliku wykonywalnego czwartego etapu. Ten nieznany komponent prawdopodobnie kontynuuje łańcuch ataku, podejmując kolejne złośliwe działania.

Szeroki zasięg i zebrane dane

W ciągu ostatniego roku ponad 100 użytkowników z kilkudziesięciu organizacji padło ofiarą tych wiadomości phishingowych. Ostateczny ładunek zapewnia dokładne zbieranie danych, eksfiltrując nie tylko dokumenty osobiste i firmowe, ale także:

  • Pełny spis zainstalowanego oprogramowania
  • Informacje o sterownikach urządzeń
  • Szczegóły składników systemu operacyjnego

Wnioski: Skoordynowane i rozwijające się zagrożenie szpiegostwem

Kampania z użyciem oprogramowania szpiegującego Batavia odzwierciedla skoordynowane i ciągłe zagrożenie dla bezpieczeństwa organizacji w Rosji. Wieloetapowy łańcuch infekcji, w połączeniu z możliwością pozyskiwania szerokiego spektrum plików i danych wywiadowczych z systemów, czyni z niego potężne narzędzie szpiegowskie. Organizacje muszą zachować czujność i wdrożyć proaktywne środki bezpieczeństwa, aby bronić się przed tak zaawansowanymi, zwodniczymi atakami.

Popularne

Blockchain.com Oszustwo e-mailowe dotyczące wypłat...

Phishing, Nieuczciwe strony internetowe, Spam
W erze, w której dominują transakcje cyfrowe i usługi finansowe online, użytkownicy muszą zachować czujność wobec coraz bardziej wyrafinowanych cyberprzekrętów. Jednym z alarmujących schematów zidentyfikowanych przez analityków cyberbezpieczeństwa jest oszustwo Blockchain.com Compensation Payments. Ukryte pod profesjonalnym projektem i przekonującymi narracjami, to oszustwo manipuluje ofiarami,...

Najczęściej oglądane

Ładowanie...