Batavia Spyware
Софистицирана кампања сајбер шпијунаже активно циља руске организације од јула 2024. године. У сржи операције је раније недокументовани шпијунски софтвер под називом Батавија, који се распоређује путем обмањујућих имејлова дизајнираних да изгледају као легитимне понуде уговора.
Преглед садржаја
Ланац инфекције: Од имејла до шпијунаже
Напад почиње пажљиво осмишљеним фишинг имејловима, послатим са домена oblast-ru.com који контролише нападач. Ове поруке маме примаоце лажним захтевом за потписивање уговора и садрже злонамерни линк. Кликом на линк покреће се преузимање архивске датотеке која садржи Visual Basic Encoded скрипту (.VBE датотека).
Једном извршен, скрипта врши извиђање прикупљањем детаљних информација о хост систему и њиховим преносом на удаљени сервер. Ово покреће преузимање секундарног корисног оптерећења, извршне датотеке написане у Делфију.
Делфи злонамерни софтвер: Ометање и крађа података
Злонамерни софтвер базиран на Делфију вероватно нуди фалсификовани уговор како би жртва остала ангажована. У међувремену, дискретно прикупља разне осетљиве информације, укључујући:
- Системски дневници и информације о инсталираном софтверу
- Microsoft Office и други типови докумената (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
- Снимци екрана и подаци са било којих преносивих уређаја повезаних са хостом
Функционалност злонамерног софтвера се ту не завршава. Он такође преузима додатну бинарну датотеку са свог Командно-контролног сервера. Ова датотека је дизајнирана да прикупи још шири спектар типова датотека за крађу.
Проширене могућности прикупљања датотека
Бинарни фајл друге фазе значајно проширује обим украдених података и укључује:
- Слике и графичке датотеке: *.jpeg, *.jpg, *.cdr
- Е-поруке и текстуални садржај: *.eml, *.csv, *.txt, *.rtf
- Презентације и архиве: *.ppt, *.pptx, *.odp, *.rar, *.zip
Све прикупљене информације се пребацују на други домен, ru-exchange.com, који такође служи као тачка испоруке за извршни фајл четврте фазе. Ова непозната компонента вероватно наставља ланац напада даљим злонамерним акцијама.
Широко распрострањен утицај и прикупљени подаци
Током прошле године, више од 100 корисника у неколико десетина организација је било мета ових фишинг порука. Коначни корисни терет осигурава темељно прикупљање података, извлачећи не само личне и корпоративне документе већ и:
- Комплетан инвентар инсталираног софтвера
- Информације о драјверима уређаја
- Детаљи о компонентама оперативног система
Закључак: Координирана и еволуирајућа претња шпијунаже
Кампања шпијунског софтвера „Батавија“ одражава координисану и сталну претњу организационој безбедности у Русији. Вишестепени ланац инфекције, заједно са способношћу да извуче широк спектар датотека и системских обавештајних података, означава га као застрашујуће средство за шпијунажу. Организације морају остати будне и усвојити проактивне мере безбедности како би се одбраниле од таквих напредних, обмањујућих напада.
