新型 Batavia 间谍软件瞄准俄罗斯工业企业

admin 2025年7月9日02:10:25评论3 views字数 1260阅读4分12秒阅读模式

导 

自2025年3月以来,针对俄罗斯目标的网络钓鱼活动使用虚假合同主题电子邮件传播Batavia间谍软件,这是一种旨在窃取内部文件的新型恶意软件。

该攻击自2024年7月以来持续进行,始于.vbe伪装成合同或附件的恶意文件链接。该恶意软件包含一个VBA脚本和两个可执行文件,卡巴斯基已将其检测为Trojan.Batavia变种。

卡巴斯基发布的报告指出: “自2025年3月初以来,俄罗斯各机构员工检测到的类似文件(例如договор-2025-5.vbe、、 приложение.vbe和 (合同、附件))的数量有所增加。” “定向攻击始于以签订合同为借口发送包含恶意链接的诱饵邮件。”

新型 Batavia 间谍软件瞄准俄罗斯工业企业

点击钓鱼邮件中的链接会下载一个 VBE 脚本,该脚本会收集系统信息并从攻击者的域名检索恶意软件文件 (WebView.exe)。

该脚本会检查操作系统版本,以确定如何执行有效载荷,并将数据发送到命令与控制 (C2) 服务器。该攻击使用针对每封电子邮件定制的参数来管理感染阶段并规避检测。

在攻击链的第二阶段, WebView.exe 恶意软件(用 Delphi 编写)会下载并显示一份虚假合约,然后开始监视受感染的系统。

它会收集系统日志、办公文档,并定期截取屏幕截图,并将其发送到新的 C2 服务器。为了避免重复上传,它会对每个文件进行哈希处理。它还会下载一个新的恶意软件阶段(javav.exe),并设置启动快捷方式以便在系统重启时启动,从而继续感染过程。

在攻击链的最后阶段,恶意软件javav.exe(用 C++ 编写)在前几个阶段的基础上进行了扩展,将更多文件类型(例如图像、电子邮件、演示文稿、存档)作为目标,并使用更新的感染 ID ( 2hc1-...) 将它们传输到 C2 服务器。

现在,它可以更改其 C2 地址,并windowsmsg.exe通过 UAC 绕过 ( ) 下载/执行新的有效载荷 ( ) computerdefaults.exe。

与 C2 的通信是加密的,并且该恶意软件会继续通过散列文件来避免重复上传。据卡巴斯基称,此阶段引入了灵活性和持久性,以促进进一步的恶意活动。

研究人员注意到,Batavia间谍软件活动的受害者是俄罗斯工业企业。卡巴斯基的遥测数据显示,数十家机构的100多名用户收到了钓鱼邮件。

报告总结道:“值得注意的是,此次攻击活动的初始感染媒介是诱饵邮件。这凸显了定期员工培训和提高企业网络安全实践意识的重要性。”

技术报告:

https://securelist.com/batavia-spyware-steals-data-from-russian-organizations/116866/

新闻链接:

https://securityaffairs.com/179699/uncategorized/new-batavia-spyware-targets-russian-industrial-enterprises.html

新型 Batavia 间谍软件瞄准俄罗斯工业企业

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):新型 Batavia 间谍软件瞄准俄罗斯工业企业

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年7月9日02:10:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新型 Batavia 间谍软件瞄准俄罗斯工业企业https://cn-sec.com/archives/4230822.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息