Batavia間諜軟體

自 2024 年 7 月以來，一場複雜的網路間諜活動一直在積極針對俄羅斯組織。這次行動的核心是一種名為 Batavia 的先前未記錄的間諜軟體，它透過偽裝成合法合約要約的欺騙性電子郵件進行部署。

感染鏈：從電子郵件到間諜活動

攻擊始於攻擊者控制的網域 oblast-ru.com 發送精心設計的釣魚郵件。這些郵件以虛假的合約簽署請求引誘收件人，並包含一個惡意連結。點擊連結後，攻擊者會下載一個包含 Visual Basic 編碼腳本（.VBE 檔案）的檔案。

該腳本一旦執行，就會收集主機系統的詳細資訊並將其傳輸到遠端伺服器，從而進行偵察。這將觸發下載第二個有效載荷（一個用 Delphi 編寫的可執行檔）。

Delphi 惡意軟體：幹擾與資料竊取

這款基於 Delphi 的惡意軟體可能會透過偽造合約來吸引受害者。同時，它會秘密收集各種敏感訊息，包括：

• 系統日誌和已安裝的軟體訊息
• Microsoft Office 和其他文件類型（*.doc、*.docx、*.ods、*.odt、*.pdf、*.xls、*.xlsx）
• 連接到主機的任何可移動設備的螢幕截圖和數據

該惡意軟體的功能遠不止於此。它還會從其命令與控制伺服器下載一個額外的二進位檔案。該文件旨在收集更廣泛的文件類型以供竊取。

擴充的文件收集功能

第二階段二進位檔案顯著擴大了被盜資料的範圍，包括：

• 圖像和圖形檔案：*.jpeg、*.jpg、*.cdr
• 電子郵件和基於文字的內容：*.eml、*.csv、*.txt、*.rtf
• 簡報與檔案：*.ppt、*.pptx、*.odp、*.rar、*.zip

所有收集到的資訊都洩漏到另一個網域 ru-exchange.com，該網域也充當了第四階段可執行檔的投遞點。這個未知元件可能會繼續執行進一步的惡意操作，從而延續攻擊鏈。

廣泛影響和收集的數據

在過去一年中，數十家機構的 100 多名用戶已成為此類釣魚郵件的目標。最終的有效載荷可確保徹底的資料收集，不僅竊取個人和公司文檔，還竊取：

• 已安裝軟體的完整清單
• 有關設備驅動程式的信息
• 作業系統組件詳細信息

結論：協同且不斷演變的間諜威脅

Batavia間諜軟體攻擊活動反映出俄羅斯組織安全正面臨協同且持續的威脅。該攻擊活動包含多個階段，能夠竊取各種文件和系統情報，使其成為強大的間諜工具。各組織必須保持警惕，並採取主動的安全措施，以防禦此類先進的欺騙性攻擊。