Phần mềm gián điệp Batavia

Một chiến dịch gián điệp mạng tinh vi đã nhắm vào các tổ chức của Nga kể từ tháng 7 năm 2024. Trọng tâm của chiến dịch này là một phần mềm gián điệp chưa từng được ghi nhận trước đây có tên là Batavia, được triển khai thông qua các email lừa đảo được thiết kế để trông giống như các hợp đồng hợp pháp.

Chuỗi lây nhiễm: Từ email đến gián điệp

Cuộc tấn công bắt đầu bằng các email lừa đảo được thiết kế cẩn thận, được gửi từ tên miền do kẻ tấn công kiểm soát oblast-ru.com. Những tin nhắn này dụ người nhận bằng yêu cầu ký hợp đồng giả mạo và bao gồm một liên kết độc hại. Nhấp vào liên kết sẽ bắt đầu tải xuống tệp lưu trữ có chứa tập lệnh Visual Basic Encoded (tệp .VBE).

Sau khi thực thi, tập lệnh sẽ thực hiện trinh sát bằng cách thu thập thông tin chi tiết về hệ thống máy chủ và truyền đến máy chủ từ xa. Điều này kích hoạt tải xuống một tải trọng thứ cấp, một tệp thực thi được viết bằng Delphi.

Phần mềm độc hại Delphi: Sự mất tập trung và đánh cắp dữ liệu

Phần mềm độc hại dựa trên Delphi có thể đưa ra một hợp đồng giả mạo để giữ chân nạn nhân. Trong khi đó, nó kín đáo thu thập nhiều thông tin nhạy cảm bao gồm:

• Nhật ký hệ thống và thông tin phần mềm đã cài đặt
• Microsoft Office và các loại tài liệu khác (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
• Ảnh chụp màn hình và dữ liệu từ bất kỳ thiết bị di động nào được kết nối với máy chủ

Chức năng của phần mềm độc hại không dừng lại ở đó. Nó còn tải xuống một tệp nhị phân bổ sung từ máy chủ Command-and-Control của nó. Tệp này được thiết kế để thu thập một mảng rộng hơn các loại tệp để trích xuất.

Khả năng thu thập tập tin mở rộng

Giai đoạn nhị phân thứ hai mở rộng đáng kể phạm vi dữ liệu bị đánh cắp để bao gồm:

• Hình ảnh và tệp đồ họa: *.jpeg, *.jpg, *.cdr
• Email và nội dung dạng văn bản: *.eml, *.csv, *.txt, *.rtf
• Bản trình bày và lưu trữ: *.ppt, *.pptx, *.odp, *.rar, *.zip

Tất cả thông tin thu thập được sẽ được chuyển đến một tên miền khác, ru-exchange.com, cũng đóng vai trò là điểm phân phối cho tệp thực thi giai đoạn thứ tư. Thành phần không xác định này có khả năng tiếp tục chuỗi tấn công với các hành động độc hại khác.

Tác động rộng rãi và dữ liệu thu thập được

Trong năm qua, hơn 100 người dùng từ hàng chục tổ chức đã bị nhắm mục tiêu bằng những tin nhắn lừa đảo này. Mục tiêu cuối cùng đảm bảo việc thu thập dữ liệu toàn diện, không chỉ đánh cắp tài liệu cá nhân và doanh nghiệp mà còn:

• Một danh mục đầy đủ các phần mềm đã cài đặt
• Thông tin về trình điều khiển thiết bị
• Chi tiết thành phần hệ điều hành

Kết luận: Một mối đe dọa gián điệp phối hợp và đang phát triển

Chiến dịch phần mềm gián điệp Batavia phản ánh mối đe dọa liên tục và có sự phối hợp đối với an ninh tổ chức tại Nga. Chuỗi lây nhiễm nhiều giai đoạn, cùng với khả năng trích xuất nhiều loại tệp và thông tin tình báo hệ thống, đánh dấu đây là một công cụ gián điệp đáng gờm. Các tổ chức phải luôn cảnh giác và áp dụng các biện pháp bảo mật chủ động để chống lại các cuộc tấn công lừa đảo, tiên tiến như vậy.