Špionážny softvér Batavia
Sofistikovaná kybernetická špionážna kampaň sa aktívne zameriava na ruské organizácie od júla 2024. Jadrom operácie je predtým nezdokumentovaný špionážny softvér s názvom Batavia, ktorý sa rozmiestňuje prostredníctvom klamlivých e-mailov, ktoré sa majú javiť ako legitímne zmluvné ponuky.
Obsah
Reťazec infekcie: Od e-mailu po špionáž
Útok začína starostlivo vytvorenými phishingovými e-mailmi odoslanými z domény oblast-ru.com, ktorú ovláda útočník. Tieto správy lákajú príjemcov falošnou žiadosťou o podpísanie zmluvy a obsahujú škodlivý odkaz. Kliknutím na odkaz sa spustí sťahovanie archívneho súboru obsahujúceho skript kódovaný v jazyku Visual Basic (súbor .VBE).
Po spustení skript vykoná prieskum zhromažďovaním podrobných informácií o hostiteľskom systéme a ich prenosom na vzdialený server. To spustí stiahnutie sekundárneho užitočného zaťaženia, spustiteľného súboru napísaného v Delphi.
Malvér Delphi: Rozptýlenie a krádež údajov
Malvér založený na Delphi pravdepodobne predloží obeti falošnú zmluvu, aby ju udržal v kontakte. Zároveň diskrétne zhromažďuje rôzne citlivé informácie vrátane:
- Systémové protokoly a informácie o nainštalovanom softvéri
- Dokumenty balíka Microsoft Office a iné typy dokumentov (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
- Snímky obrazovky a údaje z akýchkoľvek vymeniteľných zariadení pripojených k hostiteľovi
Funkcionalita malvéru tým nekončí. Zo svojho servera Command-and-Control si tiež stiahne ďalší binárny súbor. Tento súbor je navrhnutý tak, aby zhromaždil ešte širšiu škálu typov súborov na účely exfiltrácie.
Rozšírené možnosti zhromažďovania súborov
Binárny súbor druhej fázy výrazne rozširuje rozsah ukradnutých údajov a zahŕňa:
- Obrázky a grafické súbory: *.jpeg, *.jpg, *.cdr
- E-maily a textový obsah: *.eml, *.csv, *.txt, *.rtf
- Prezentácie a archívy: *.ppt, *.pptx, *.odp, *.rar, *.zip
Všetky zhromaždené informácie sú prenášané na inú doménu, ru-exchange.com, ktorá slúži aj ako doručovací bod pre spustiteľný súbor štvrtej fázy. Táto neznáma súčasť pravdepodobne pokračuje v reťazci útokov ďalšími škodlivými akciami.
Rozsiahly vplyv a zozbierané údaje
Za posledný rok sa viac ako 100 používateľov v niekoľkých desiatkach organizácií stalo terčom týchto phishingových správ. Finálna časť zabezpečuje dôkladný zber údajov, pričom sa získavajú nielen osobné a firemné dokumenty, ale aj:
- Kompletný zoznam nainštalovaného softvéru
- Informácie o ovládačoch zariadení
- Podrobnosti o komponentoch operačného systému
Záver: Koordinovaná a vyvíjajúca sa špionážna hrozba
Špionážna kampaň Batavia odráža koordinovanú a pretrvávajúcu hrozbu pre organizačnú bezpečnosť v Rusku. Viacstupňový infekčný reťazec v spojení s jeho schopnosťou extrahovať široké spektrum súborov a systémových informácií ho označuje za impozantný špionážny nástroj. Organizácie musia zostať ostražití a prijať proaktívne bezpečnostné opatrenia na obranu pred takýmito pokročilými a klamlivými útokmi.
