自2025年3月起,针对俄罗斯组织的定向钓鱼攻击通过伪造合同主题邮件传播"巴达维亚"间谍软件。这款新型恶意程序专门窃取内部文件,其攻击活动可追溯至2024年7月。攻击者首先发送伪装成合同或附件的恶意.vbe文件链接,该恶意软件包含VBA脚本和两个可执行文件,卡巴斯基实验室将其检测为Trojan.Batavia变种。
俄罗斯网络安全公司卡巴斯基在报告中指出:"2025年3月初以来,我们的系统监测到多家俄罗斯机构员工设备频繁出现名为договор-2025-5.vbe(合同)、приложение.vbe(附件)等相似恶意文件。攻击者以签署合同为由发送含恶意链接的诱导邮件。"
网络攻击分阶段技术解析
初始感染阶段
点击钓鱼邮件中的链接后,系统会下载VBE脚本。该脚本首先收集设备信息,随后从攻击者控制的域名获取WebView.exe恶意文件。脚本通过检测操作系统版本动态调整有效载荷执行方式,并将窃取数据传送至命令控制服务器(C2)。值得注意的是,攻击者为每封邮件定制专属参数,既精准控制感染进度,又有效规避安全检测。
中期渗透阶段
采用Delphi语言编写的WebView.exe会下载并展示伪造合同界面以迷惑用户,同时在后台开启间谍程序:
-
系统性收集日志文件与办公文档
-
定时截取屏幕画面并通过新C2服务器回传
-
采用文件哈希值校验机制避免重复上传
-
下载javav.exe恶意模块并创建开机自启动项
最终攻击阶段
基于C++开发的javav.exe展现出更强危害性:
-
数据窃取升级:扩展至图像、邮件、演示文稿、压缩包等20+文件类型
-
通信加密:使用"2hc1-"前缀的新感染标识与C2服务器建立加密通道
-
动态规避:可实时更换C2服务器地址,通过computerdefaults.exe实现UAC提权
-
持久化部署:下载windowsmsg.exe后续载荷维持长期控制
卡巴斯基监测数据显示,已有数十家俄罗斯工业企业超过100名用户遭遇此类钓鱼邮件攻击。安全专家特别强调:"本次攻击全部通过诱导邮件发起,这再次证明定期开展员工网络安全培训、强化企业防护意识至关重要。"
原文始发于微信公众号(黑猫安全):新巴达维亚间谍软件瞄准俄罗斯工业企业
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论