新型 Batavia 间谍软件瞄准俄罗斯工业企业

自2025年3月以来，针对俄罗斯目标的网络钓鱼活动使用虚假合同主题电子邮件传播Batavia间谍软件，这是一种旨在窃取内部文件的新型恶意软件。

该攻击自2024年7月以来持续进行，始于.vbe伪装成合同或附件的恶意文件链接。该恶意软件包含一个VBA脚本和两个可执行文件，卡巴斯基已将其检测为Trojan.Batavia变种。

卡巴斯基发布的报告指出： “自2025年3月初以来，俄罗斯各机构员工检测到的类似文件（例如договор-2025-5.vbe、、 приложение.vbe和 （合同、附件））的数量有所增加。” “定向攻击始于以签订合同为借口发送包含恶意链接的诱饵邮件。”

点击钓鱼邮件中的链接会下载一个 VBE 脚本，该脚本会收集系统信息并从攻击者的域名检索恶意软件文件 (WebView.exe)。

该脚本会检查操作系统版本，以确定如何执行有效载荷，并将数据发送到命令与控制 (C2) 服务器。该攻击使用针对每封电子邮件定制的参数来管理感染阶段并规避检测。

在攻击链的第二阶段， WebView.exe 恶意软件（用 Delphi 编写）会下载并显示一份虚假合约，然后开始监视受感染的系统。

它会收集系统日志、办公文档，并定期截取屏幕截图，并将其发送到新的 C2 服务器。为了避免重复上传，它会对每个文件进行哈希处理。它还会下载一个新的恶意软件阶段（javav.exe），并设置启动快捷方式以便在系统重启时启动，从而继续感染过程。

在攻击链的最后阶段，恶意软件javav.exe（用 C++ 编写）在前几个阶段的基础上进行了扩展，将更多文件类型（例如图像、电子邮件、演示文稿、存档）作为目标，并使用更新的感染 ID ( 2hc1-...) 将它们传输到 C2 服务器。

现在，它可以更改其 C2 地址，并windowsmsg.exe通过 UAC 绕过 ( ) 下载/执行新的有效载荷 ( ) computerdefaults.exe。

与 C2 的通信是加密的，并且该恶意软件会继续通过散列文件来避免重复上传。据卡巴斯基称，此阶段引入了灵活性和持久性，以促进进一步的恶意活动。

研究人员注意到，Batavia间谍软件活动的受害者是俄罗斯工业企业。卡巴斯基的遥测数据显示，数十家机构的100多名用户收到了钓鱼邮件。

报告总结道：“值得注意的是，此次攻击活动的初始感染媒介是诱饵邮件。这凸显了定期员工培训和提高企业网络安全实践意识的重要性。”

技术报告：

https://securelist.com/batavia-spyware-steals-data-from-russian-organizations/116866/

新闻链接：

https://securityaffairs.com/179699/uncategorized/new-batavia-spyware-targets-russian-industrial-enterprises.html