Rabattoffert för flera licenser
Hotdatabas Skadlig programvara Batavia Spionprogram

Batavia Spionprogram

Med Mezo år Skadlig programvara, Spionprogram
Översätt till:

En sofistikerad cyberspionagekampanj har aktivt riktat in sig på ryska organisationer sedan juli 2024. I centrum för operationen finns ett tidigare odokumenterat spionprogram vid namn Batavia, som distribueras via vilseledande e-postmeddelanden som är utformade för att framstå som legitima kontraktserbjudanden.

Infektionskedjan: Från e-post till spionage

Attacken börjar med noggrant utformade nätfiskemejl, skickade från den angriparkontrollerade domänen oblast-ru.com. Dessa meddelanden lockar mottagare med en falsk begäran om kontraktssignering och innehåller en skadlig länk. Genom att klicka på länken initieras nedladdningen av en arkivfil som innehåller ett Visual Basic Encoded-skript (.VBE-fil).

När skriptet har körts utför det rekognoscering genom att samla in detaljerad information om värdsystemet och överföra den till en fjärrserver. Detta utlöser nedladdningen av en sekundär nyttolast, en körbar fil skriven i Delphi.

Delphi-skadlig programvara: Distraktion och datastöld

Den Delphi-baserade skadliga programvaran presenterar sannolikt ett förfalskat kontrakt för att hålla offret engagerat. Samtidigt samlar den diskret in en mängd olika känsliga uppgifter, inklusive:

  • Systemloggar och information om installerad programvara
  • Microsoft Office och andra dokumenttyper (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
  • Skärmdumpar och data från alla flyttbara enheter som är anslutna till värden

Den skadliga programvarans funktionalitet slutar inte där. Den laddar också ner en ytterligare binärfil från sin Command-and-Control-server. Denna fil är utformad för att samla in en ännu bredare uppsättning filtyper för exfiltrering.

Utökade funktioner för filinsamling

Den andra stegets binärfil utökar avsevärt omfattningen av stulen data till att omfatta:

  • Bilder och grafikfiler: *.jpeg, *.jpg, *.cdr
  • E-postmeddelanden och textbaserat innehåll: *.eml, *.csv, *.txt, *.rtf
  • Presentationer och arkiv: *.ppt, *.pptx, *.odp, *.rar, *.zip

All insamlad information exfiltreras till en annan domän, ru-exchange.com, som också fungerar som leveranspunkt för en körbar fil i fjärde steget. Denna okända komponent fortsätter sannolikt attackkedjan med ytterligare skadliga handlingar.

Utbredd påverkan och insamlad data

Under det senaste året har fler än 100 användare i flera dussin organisationer utsatts för dessa nätfiskemeddelanden. Den slutliga nyttolasten säkerställer grundlig datainsamling, som inte bara stänger av personliga och företagsdokument utan även:

  • En komplett inventering av installerad programvara
  • Information om enhetsdrivrutiner
  • Detaljer om operativsystemkomponenter

Slutsats: Ett samordnat och utvecklande spionhot

Spionprogramskampanjen Batavia återspeglar ett samordnat och ihållande hot mot organisationers säkerhet i Ryssland. Den flerstegsiga infektionskedjan, i kombination med dess förmåga att extrahera ett brett spektrum av filer och systeminformation, gör den till ett formidabelt spionverktyg. Organisationer måste förbli vaksamma och vidta proaktiva säkerhetsåtgärder för att försvara sig mot sådana avancerade, vilseledande attacker.

Trendigt

Blockchain.com-bedrägerier gällande...

Nätfiske, Rogue webbplatser, Spam
I en tid där digitala transaktioner och finansiella tjänster online dominerar måste användare vara vaksamma mot alltmer sofistikerade cyberbedrägerier. Ett alarmerande system som identifierats av cybersäkerhetsanalytiker är Blockchain.com Compensation Payments Scam. Förklätt med professionell design och övertygande berättelser manipulerar detta bedrägeri offer att avslöja personlig information...

Mest sedda

Läser in...