Шпигунське програмне забезпечення Batavia
З липня 2024 року активно спрямована складна кампанія кібершпигунства проти російських організацій. В основі операції лежить раніше не документоване шпигунське програмне забезпечення під назвою Batavia, яке розгортається через оманливі електронні листи, розроблені під виглядом законних контрактних пропозицій.
Зміст
Ланцюг зараження: від електронної пошти до шпигунства
Атака починається з ретельно сформованих фішингових електронних листів, що надсилаються з контрольованого зловмисником домену oblast-ru.com. Ці повідомлення заманюють одержувачів фальшивим запитом на підписання договору та містять шкідливе посилання. Натискання на посилання ініціює завантаження архівного файлу, що містить скрипт у кодуванні Visual Basic (файл .VBE).
Після виконання скрипт виконує розвідку, збираючи детальну інформацію про хост-систему та передаючи її на віддалений сервер. Це запускає завантаження вторинного корисного навантаження – виконуваного файлу, написаного на Delphi.
Шкідливе програмне забезпечення Delphi: відволікання та крадіжка даних
Шкідливе програмне забезпечення на базі Delphi, ймовірно, пропонує підроблений контракт, щоб утримати жертву. Тим часом воно непомітно збирає різноманітну конфіденційну інформацію, зокрема:
- Системні журнали та інформація про встановлене програмне забезпечення
- Документи Microsoft Office та інші типи (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
- Знімки екрана та дані з будь-яких знімних пристроїв, підключених до хоста
Функціональність шкідливого програмного забезпечення на цьому не закінчується. Воно також завантажує додатковий бінарний файл зі свого сервера Command-and-Control. Цей файл призначений для збору ще ширшого спектру типів файлів для крадіжки.
Розширені можливості збору файлів
Бінарний файл другого етапу значно розширює обсяг викрадених даних, включаючи:
- Зображення та графічні файли: *.jpeg, *.jpg, *.cdr
- Електронні листи та текстовий контент: *.eml, *.csv, *.txt, *.rtf
- Презентації та архіви: *.ppt, *.pptx, *.odp, *.rar, *.zip
Вся зібрана інформація переноситься на інший домен, ru-exchange.com, який також служить точкою доставки для виконуваного файлу четвертого етапу. Цей невідомий компонент, ймовірно, продовжує ланцюжок атаки подальшими шкідливими діями.
Широкий вплив та зібрані дані
Протягом минулого року понад 100 користувачів у кількох десятках організацій стали мішенями цих фішингових повідомлень. Остаточне корисне навантаження забезпечує ретельний збір даних, вилучаючи не лише особисті та корпоративні документи, а й:
- Повний перелік встановленого програмного забезпечення
- Інформація про драйвери пристроїв
- Відомості про компоненти операційної системи
Висновок: Скоординована та зростаюча загроза шпигунства
Кампанія шпигунського програмного забезпечення Batavia відображає скоординовану та постійну загрозу безпеці організацій у Росії. Багатоетапний ланцюг зараження в поєднанні з його здатністю витягувати широкий спектр файлів та системної інформації робить його потужним інструментом шпигунства. Організації повинні залишатися пильними та вживати проактивних заходів безпеки для захисту від таких складних, оманливих атак.
