Batavia Spyware
แคมเปญจารกรรมทางไซเบอร์ที่ซับซ้อนได้มุ่งเป้าไปที่องค์กรของรัสเซียอย่างแข็งขันมาตั้งแต่เดือนกรกฎาคม พ.ศ. 2567 หัวใจสำคัญของปฏิบัติการนี้คือสปายแวร์ที่ยังไม่มีการบันทึกมาก่อนชื่อว่า Batavia ซึ่งแพร่กระจายผ่านอีเมลหลอกลวงที่ออกแบบมาให้ดูเหมือนข้อเสนอสัญญาที่ถูกต้องตามกฎหมาย
สารบัญ
ห่วงโซ่การติดเชื้อ: จากอีเมลสู่การจารกรรม
การโจมตีเริ่มต้นด้วยอีเมลฟิชชิงที่สร้างขึ้นอย่างพิถีพิถัน ส่งมาจากโดเมน oblast-ru.com ซึ่งผู้โจมตีควบคุม ข้อความเหล่านี้ล่อลวงผู้รับด้วยคำขอลงนามสัญญาปลอมและมีลิงก์อันตราย การคลิกลิงก์ดังกล่าวจะเป็นการเริ่มต้นการดาวน์โหลดไฟล์เก็บถาวรที่มีสคริปต์ Visual Basic Encoded (ไฟล์ .VBE)
เมื่อดำเนินการแล้ว สคริปต์จะทำการลาดตระเวนโดยการรวบรวมข้อมูลโดยละเอียดเกี่ยวกับระบบโฮสต์และส่งข้อมูลดังกล่าวไปยังเซิร์ฟเวอร์ระยะไกล ซึ่งจะกระตุ้นให้ดาวน์โหลดไฟล์สำรอง ซึ่งเป็นไฟล์ปฏิบัติการที่เขียนด้วยภาษาเดลฟี
มัลแวร์เดลฟี: การรบกวนและการขโมยข้อมูล
มัลแวร์ที่พัฒนาบนเดลฟีน่าจะนำเสนอสัญญาปลอมเพื่อดึงดูดเหยื่อให้สนใจ ในขณะเดียวกัน มัลแวร์ยังรวบรวมข้อมูลสำคัญต่างๆ อย่างรอบคอบ เช่น:
- บันทึกระบบและข้อมูลซอฟต์แวร์ที่ติดตั้ง
- Microsoft Office และประเภทเอกสารอื่นๆ (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
- ภาพหน้าจอและข้อมูลจากอุปกรณ์ถอดได้ที่เชื่อมต่อกับโฮสต์
ฟังก์ชันการทำงานของมัลแวร์ไม่ได้จบเพียงเท่านี้ มันยังดาวน์โหลดไบนารีเพิ่มเติมจากเซิร์ฟเวอร์ Command-and-Control อีกด้วย ไฟล์นี้ออกแบบมาเพื่อรวบรวมไฟล์ประเภทต่างๆ ที่หลากหลายยิ่งขึ้นเพื่อนำไปใช้ประโยชน์
ความสามารถในการรวบรวมไฟล์ที่ขยายเพิ่ม
ไบนารีขั้นที่สองขยายขอบเขตของข้อมูลที่ถูกขโมยอย่างมีนัยสำคัญเพื่อรวมถึง:
- รูปภาพและไฟล์กราฟิก: *.jpeg, *.jpg, *.cdr
- อีเมลและเนื้อหาที่เป็นข้อความ: *.eml, *.csv, *.txt, *.rtf
- การนำเสนอและไฟล์เก็บถาวร: *.ppt, *.pptx, *.odp, *.rar, *.zip
ข้อมูลที่รวบรวมทั้งหมดจะถูกแยกออกไปยังโดเมนอื่น คือ ru-exchange.com ซึ่งทำหน้าที่เป็นจุดส่งมอบไฟล์ปฏิบัติการขั้นที่สี่ ส่วนประกอบที่ไม่รู้จักนี้น่าจะยังคงดำเนินการโจมตีต่อไปด้วยการกระทำที่เป็นอันตรายอื่นๆ
ผลกระทบที่แพร่หลายและข้อมูลที่รวบรวม
ในปีที่ผ่านมา มีผู้ใช้มากกว่า 100 รายจากหลายสิบองค์กรตกเป็นเป้าหมายของข้อความฟิชชิ่งเหล่านี้ เพย์โหลดสุดท้ายนี้รับประกันการเก็บเกี่ยวข้อมูลอย่างละเอียด ไม่เพียงแต่ขโมยเอกสารส่วนตัวและเอกสารของบริษัทเท่านั้น แต่ยังรวมถึง:
- สินค้าคงคลังซอฟต์แวร์ที่ติดตั้งครบถ้วน
- ข้อมูลเกี่ยวกับไดรเวอร์อุปกรณ์
- รายละเอียดส่วนประกอบของระบบปฏิบัติการ
บทสรุป: ภัยคุกคามจากการจารกรรมที่มีการประสานงานและวิวัฒนาการ
แคมเปญสปายแวร์ของ Batavia สะท้อนให้เห็นถึงภัยคุกคามที่ต่อเนื่องและประสานงานกันอย่างต่อเนื่องต่อความมั่นคงขององค์กรในรัสเซีย ห่วงโซ่การติดเชื้อแบบหลายขั้นตอน ประกอบกับความสามารถในการดึงข้อมูลไฟล์และข้อมูลระบบได้หลากหลาย ทำให้ Batavia เป็นเครื่องมือจารกรรมที่น่าเกรงขาม องค์กรต่างๆ จำเป็นต้องเฝ้าระวังและใช้มาตรการรักษาความปลอดภัยเชิงรุกเพื่อป้องกันการโจมตีที่หลอกลวงขั้นสูงเช่นนี้
