一种名为Batavia的间谍软件正在通过鱼叉式网络钓鱼邮件攻击俄罗斯的大型工业企业。这些邮件通常伪装成与合同相关的诱饵。据Kaspersky的研究人员报告,Batavia行动自去年七月以来一直持续活跃,目标是数十家俄罗斯组织的员工。
攻击链始于邮件中嵌入的链接,伪装成合同附件。点击后,会下载一个包含恶意Visual Basic编码脚本(.VBE文件)的压缩文件。执行该脚本后,会对主机系统进行剖析,并将详细信息发送至攻击者的指挥和控制服务器(C2)。随后,它会从某网站下载下一阶段的负载WebView.exe。
第二阶段是基于Delphi的恶意软件,向受害者显示虚假的合同以分散注意力,同时在后台收集系统日志、文档并截屏。收集的数据被传送至另一个网站,而该恶意软件通过使用文件的前40,000字节的哈希值来避免冗余上传。最终,它会获取第三阶段负载javav.exe,一个C++数据窃取程序,并在操作系统启动时执行。最终负载进一步扩展数据收集,目标包括图像、演示文稿、邮件、压缩文件、电子表格、TXT和RTF文件。
Kaspersky在报告中指出可能存在第四阶段负载,名为windowsmsg.exe,可能用于攻击的下一阶段,但研究人员未能获取。虽然研究人员尚未对该行动目的进行推测,但结合目标和Batavia的能力,这可能是对俄罗斯工业活动的间谍行动。