新巴达维亚间谍软件瞄准俄罗斯工业企业

admin 2025年7月8日11:38:11评论5 views字数 902阅读3分0秒阅读模式
新巴达维亚间谍软件瞄准俄罗斯工业企业

自2025年3月起,针对俄罗斯组织的定向钓鱼攻击通过伪造合同主题邮件传播"巴达维亚"间谍软件。这款新型恶意程序专门窃取内部文件,其攻击活动可追溯至2024年7月。攻击者首先发送伪装成合同或附件的恶意.vbe文件链接,该恶意软件包含VBA脚本和两个可执行文件,卡巴斯基实验室将其检测为Trojan.Batavia变种。

俄罗斯网络安全公司卡巴斯基在报告中指出:"2025年3月初以来,我们的系统监测到多家俄罗斯机构员工设备频繁出现名为договор-2025-5.vbe(合同)、приложение.vbe(附件)等相似恶意文件。攻击者以签署合同为由发送含恶意链接的诱导邮件。"

新巴达维亚间谍软件瞄准俄罗斯工业企业

网络攻击分阶段技术解析
初始感染阶段
点击钓鱼邮件中的链接后,系统会下载VBE脚本。该脚本首先收集设备信息,随后从攻击者控制的域名获取WebView.exe恶意文件。脚本通过检测操作系统版本动态调整有效载荷执行方式,并将窃取数据传送至命令控制服务器(C2)。值得注意的是,攻击者为每封邮件定制专属参数,既精准控制感染进度,又有效规避安全检测。

中期渗透阶段
采用Delphi语言编写的WebView.exe会下载并展示伪造合同界面以迷惑用户,同时在后台开启间谍程序:

  • 系统性收集日志文件与办公文档

  • 定时截取屏幕画面并通过新C2服务器回传

  • 采用文件哈希值校验机制避免重复上传

  • 下载javav.exe恶意模块并创建开机自启动项

最终攻击阶段
基于C++开发的javav.exe展现出更强危害性:

  1. 数据窃取升级:扩展至图像、邮件、演示文稿、压缩包等20+文件类型

  2. 通信加密:使用"2hc1-"前缀的新感染标识与C2服务器建立加密通道

  3. 动态规避:可实时更换C2服务器地址,通过computerdefaults.exe实现UAC提权

  4. 持久化部署:下载windowsmsg.exe后续载荷维持长期控制

卡巴斯基监测数据显示,已有数十家俄罗斯工业企业超过100名用户遭遇此类钓鱼邮件攻击。安全专家特别强调:"本次攻击全部通过诱导邮件发起,这再次证明定期开展员工网络安全培训、强化企业防护意识至关重要。"

原文始发于微信公众号(黑猫安全):新巴达维亚间谍软件瞄准俄罗斯工业企业

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年7月8日11:38:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新巴达维亚间谍软件瞄准俄罗斯工业企业https://cn-sec.com/archives/4231799.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息