Шпионское ПО Батавия
С июля 2024 года активно ведется сложная кампания кибершпионажа против российских организаций. В основе операции лежит ранее не документированная шпионская программа Batavia, которая распространяется с помощью обманных электронных писем, выдаваемых за законные предложения о заключении контрактов.
Оглавление
Цепочка заражения: от электронной почты до шпионажа
Атака начинается с тщательно составленных фишинговых писем, отправляемых с контролируемого злоумышленниками домена oblast-ru.com. Эти письма заманивают получателей поддельным запросом на подписание контракта и содержат вредоносную ссылку. Переход по ссылке запускает загрузку архивного файла, содержащего скрипт в кодировке Visual Basic (файл .VBE).
После запуска скрипт проводит разведку, собирая подробную информацию о хост-системе и передавая её на удалённый сервер. Это запускает загрузку вторичной полезной нагрузки — исполняемого файла, написанного на Delphi.
Вредоносное ПО Delphi: отвлечение внимания и кража данных
Вредоносное ПО на базе Delphi, вероятно, представляет собой поддельный контракт, чтобы удерживать жертву. При этом оно незаметно собирает различную конфиденциальную информацию, включая:
- Системные журналы и информация об установленном программном обеспечении
- Microsoft Office и другие типы документов (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
- Скриншоты и данные с любых съемных устройств, подключенных к хосту
Функциональность вредоносной программы на этом не заканчивается. Она также загружает дополнительный исполняемый файл со своего сервера управления. Этот файл предназначен для сбора ещё более широкого спектра типов файлов для последующей эксфильтрации.
Расширенные возможности сбора файлов
Двоичный файл второго этапа значительно расширяет объем украденных данных и включает в себя:
- Изображения и графические файлы: *.jpeg, *.jpg, *.cdr
- Электронные письма и текстовый контент: *.eml, *.csv, *.txt, *.rtf
- Презентации и архивы: *.ppt, *.pptx, *.odp, *.rar, *.zip
Вся собранная информация перенаправляется на другой домен, ru-exchange.com, который также служит точкой доставки исполняемого файла четвёртого этапа. Этот неизвестный компонент, вероятно, продолжает цепочку атаки, выполняя дальнейшие вредоносные действия.
Широкое воздействие и собранные данные
За последний год более 100 пользователей из нескольких десятков организаций стали жертвами подобных фишинговых сообщений. Конечная нагрузка обеспечивает тщательный сбор данных, извлекая не только личные и корпоративные документы, но и:
- Полный перечень установленного программного обеспечения
- Информация о драйверах устройств
- Сведения о компонентах операционной системы
Заключение: Скоординированная и развивающаяся угроза шпионажа
Шпионская кампания Batavia отражает скоординированную и постоянную угрозу безопасности организаций в России. Многоэтапная цепочка заражения в сочетании со способностью извлекать широкий спектр файлов и системной информации делает её грозным инструментом шпионажа. Организациям необходимо сохранять бдительность и принимать превентивные меры безопасности для защиты от подобных изощрённых, обманных атак.
