Batavia间谍软件
自 2024 年 7 月以来,一场复杂的网络间谍活动一直在积极针对俄罗斯组织。此次行动的核心是一种名为 Batavia 的先前未记录的间谍软件,它通过伪装成合法合同要约的欺骗性电子邮件进行部署。
目录
感染链:从电子邮件到间谍活动
攻击始于攻击者控制的域名 oblast-ru.com 发送精心设计的钓鱼邮件。这些邮件以虚假的合同签署请求引诱收件人,并包含一个恶意链接。点击该链接后,攻击者会下载一个包含 Visual Basic 编码脚本(.VBE 文件)的存档文件。
该脚本一旦执行,就会收集主机系统的详细信息并将其传输到远程服务器,从而进行侦察。这将触发下载第二个有效载荷(一个用 Delphi 编写的可执行文件)。
Delphi 恶意软件:干扰和数据窃取
这款基于 Delphi 的恶意软件可能会通过伪造合同来吸引受害者。同时,它会秘密收集各种敏感信息,包括:
- 系统日志和已安装的软件信息
- Microsoft Office 和其他文档类型(*.doc、*.docx、*.ods、*.odt、*.pdf、*.xls、*.xlsx)
- 连接到主机的任何可移动设备的屏幕截图和数据
该恶意软件的功能远不止于此。它还会从其命令与控制服务器下载一个额外的二进制文件。该文件旨在收集更广泛的文件类型以供窃取。
扩展的文件收集功能
第二阶段二进制文件显著扩大了被盗数据的范围,包括:
- 图像和图形文件:*.jpeg、*.jpg、*.cdr
- 电子邮件和基于文本的内容:*.eml、*.csv、*.txt、*.rtf
- 演示文稿和档案:*.ppt、*.pptx、*.odp、*.rar、*.zip
所有收集到的信息都被泄露到另一个域名 ru-exchange.com,该域名也充当了第四阶段可执行文件的投递点。这个未知组件可能会继续执行进一步的恶意操作,从而延续攻击链。
广泛影响和收集的数据
在过去一年中,数十家机构的 100 多名用户已成为此类钓鱼邮件的目标。最终的有效载荷可确保彻底的数据收集,不仅窃取个人和公司文档,还窃取:
- 已安装软件的完整清单
- 有关设备驱动程序的信息
- 操作系统组件详细信息
结论:协同且不断演变的间谍威胁
Batavia间谍软件攻击活动反映出俄罗斯组织安全正面临协同且持续的威胁。该攻击活动包含多个阶段,能够窃取各种文件和系统情报,使其成为一种强大的间谍工具。各组织必须保持警惕,并采取主动的安全措施,以防御此类先进的欺骗性攻击。
