Batavia Spyware

Ang isang sopistikadong cyber-espionage campaign ay aktibong nagta-target sa mga organisasyong Russian mula noong Hulyo 2024. Sa gitna ng operasyon ay isang dati nang hindi dokumentado na spyware na pinangalanang Batavia, na na-deploy sa pamamagitan ng mga mapanlinlang na email na idinisenyo upang lumitaw bilang mga lehitimong alok sa kontrata.

Ang Infection Chain: Mula sa Email hanggang Espionage

Nagsisimula ang pag-atake sa maingat na ginawang mga email sa phishing, na ipinadala mula sa domain na kontrolado ng attacker na oblast-ru.com. Ang mga mensaheng ito ay umaakit sa mga tatanggap ng isang pekeng kahilingan sa pagpirma ng kontrata at may kasamang malisyosong link. Ang pag-click sa link ay magsisimula ng pag-download ng archive file na naglalaman ng Visual Basic Encoded script (.VBE file).

Sa sandaling naisakatuparan, ang script ay nagsasagawa ng reconnaissance sa pamamagitan ng pagkolekta ng detalyadong impormasyon tungkol sa host system at pagpapadala nito sa isang malayong server. Pina-trigger nito ang pag-download ng pangalawang payload, isang executable na nakasulat sa Delphi.

Delphi Malware: Distraction at Pagnanakaw ng Data

Ang malware na nakabase sa Delphi ay malamang na nagpapakita ng isang pekeng kontrata upang panatilihing nakikipag-ugnayan ang biktima. Samantala, maingat itong nangongolekta ng iba't ibang sensitibong impormasyon kabilang ang:

• Mga log ng system at naka-install na impormasyon ng software
• Microsoft Office at iba pang uri ng dokumento (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
• Mga screenshot at data mula sa anumang naaalis na device na konektado sa host

Ang pag-andar ng malware ay hindi nagtatapos doon. Nagda-download din ito ng karagdagang binary mula sa Command-and-Control server nito. Ang file na ito ay idinisenyo upang mag-ani ng mas malawak na hanay ng mga uri ng file para sa exfiltration.

Pinalawak na Mga Kakayahang Pangongolekta ng File

Ang pangalawang yugto ng binary ay makabuluhang nagpapalawak sa saklaw ng ninakaw na data upang isama ang:

• Mga larawan at graphical na file: *.jpeg, *.jpg, *.cdr
• Mga email at nilalamang batay sa text: *.eml, *.csv, *.txt, *.rtf
• Mga presentasyon at archive: *.ppt, *.pptx, *.odp, *.rar, *.zip

Ang lahat ng nakolektang impormasyon ay na-exfiltrate sa ibang domain, ang ru-exchange.com, na nagsisilbi ring punto ng paghahatid para sa ikaapat na yugto na maipapatupad. Ang hindi kilalang bahagi na ito ay malamang na nagpapatuloy sa chain ng pag-atake na may higit pang mga nakakahamak na aksyon.

Laganap na Epekto at Nakolektang Data

Sa nakalipas na taon, mahigit 100 user sa ilang dosenang organisasyon ang na-target gamit ang mga mensaheng phishing na ito. Tinitiyak ng panghuling kargamento ang masusing pag-aani ng data, pag-alis hindi lamang sa mga personal at pangkumpanyang dokumento kundi pati na rin:

• Isang kumpletong imbentaryo ng naka-install na software
• Impormasyon tungkol sa mga driver ng device
• Mga detalye ng bahagi ng operating system

Konklusyon: Isang Pinag-ugnay at Umuunlad na Banta sa Espionage

Ang Batavia spyware campaign ay sumasalamin sa isang maayos at patuloy na banta sa seguridad ng organisasyon sa Russia. Ang multi-stage infection chain, kasama ang kakayahang kumuha ng malawak na spectrum ng mga file at system intelligence, ay nagmamarka dito bilang isang mabigat na tool sa pag-espiya. Ang mga organisasyon ay dapat manatiling mapagbantay at magpatupad ng mga proactive na hakbang sa seguridad upang ipagtanggol laban sa mga ganoong advanced, mapanlinlang na pag-atake.