Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Vohunska programska oprema Batavia

Vohunska programska oprema Batavia

Do leta Mezo leta Zlonamerna programska oprema, Vohunska programska oprema
Prevedi v:

Sofisticirana kampanja kibernetskega vohunjenja aktivno cilja na ruske organizacije od julija 2024. V središču operacije je prej nedokumentirana vohunska programska oprema z imenom Batavia, ki se uporablja prek zavajajočih e-poštnih sporočil, zasnovanih tako, da so videti kot legitimne pogodbene ponudbe.

Veriga okužbe: od e-pošte do vohunjenja

Napad se začne s skrbno oblikovanimi lažnimi e-poštnimi sporočili, poslanimi z domene oblast-ru.com, ki jo nadzoruje napadalec. Ta sporočila prejemnike privabijo z lažno zahtevo za podpis pogodbe in vsebujejo zlonamerno povezavo. S klikom na povezavo se sproži prenos arhivske datoteke, ki vsebuje skript, kodiran v Visual Basicu (datoteka .VBE).

Ko se skript izvede, izvede izvidnico z zbiranjem podrobnih informacij o gostiteljskem sistemu in njihovim posredovanjem na oddaljeni strežnik. To sproži prenos sekundarne koristne datoteke, izvedljive datoteke, napisane v Delphiju.

Zlonamerna programska oprema Delphi: Motenje pozornosti in krajo podatkov

Zlonamerna programska oprema, ki temelji na Delphiju, verjetno ponuja ponarejeno pogodbo, da bi žrtev ohranila pritegnjeno. Medtem diskretno zbira različne občutljive podatke, vključno z:

  • Sistemski dnevniki in podatki o nameščeni programski opremi
  • Microsoft Office in druge vrste dokumentov (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
  • Posnetki zaslona in podatki iz vseh odstranljivih naprav, povezanih z gostiteljem

Funkcionalnost zlonamerne programske opreme se tu ne konča. S svojega strežnika Command-and-Control prenese tudi dodatno binarno datoteko. Ta datoteka je zasnovana za zbiranje še širšega nabora vrst datotek za eksfiltracijo.

Razširjene zmogljivosti zbiranja datotek

Binarna datoteka druge stopnje znatno razširi obseg ukradenih podatkov in vključuje:

  • Slike in grafične datoteke: *.jpeg, *.jpg, *.cdr
  • E-poštna sporočila in besedilna vsebina: *.eml, *.csv, *.txt, *.rtf
  • Predstavitve in arhivi: *.ppt, *.pptx, *.odp, *.rar, *.zip

Vse zbrane informacije se prenesejo na drugo domeno, ru-exchange.com, ki služi tudi kot točka dostave za izvršljivo datoteko četrte stopnje. Ta neznana komponenta verjetno nadaljuje verigo napadov z nadaljnjimi zlonamernimi dejanji.

Širok vpliv in zbrani podatki

V preteklem letu je bilo s temi lažnimi sporočili tarča več kot 100 uporabnikov v več deset organizacijah. Končni tovor zagotavlja temeljito zbiranje podatkov, pri čemer ne izvleče le osebnih in poslovnih dokumentov, temveč tudi:

  • Popoln popis nameščene programske opreme
  • Informacije o gonilnikih naprav
  • Podrobnosti o komponentah operacijskega sistema

Zaključek: Koordinirana in razvijajoča se vohunska grožnja

Kampanja vohunske programske opreme Batavia odraža usklajeno in vztrajno grožnjo organizacijski varnosti v Rusiji. Večstopenjska veriga okužb, skupaj z njeno sposobnostjo pridobivanja širokega spektra datotek in sistemskih obveščevalnih podatkov, jo označuje za močno vohunsko orodje. Organizacije morajo ostati pozorne in sprejeti proaktivne varnostne ukrepe za obrambo pred takšnimi naprednimi, zavajajočimi napadi.

V trendu

Prevara z e-poštnimi sporočili o plačilih nadomestil...

Lažno predstavljanje, Prevarantska spletna mesta, Neželena pošta
V dobi, ko prevladujejo digitalne transakcije in spletne finančne storitve, morajo uporabniki ostati pozorni na vse bolj dovršene kibernetske prevare. Ena zaskrbljujočih shem, ki so jo odkrili analitiki kibernetske varnosti, je prevara s kompenzacijskimi plačili Blockchain.com. Ta prevara, prikrita s profesionalnim oblikovanjem in prepričljivimi pripovedmi, manipulira žrtve, da razkrijejo...

Najbolj gledan

Nalaganje...