Современный мир информационных технологий постоянно сталкивается с новыми угрозами кибербезопасности, которые представляют серьезную опасность для корпоративного сектора и государственных учреждений. Одной из таких угроз стала недавно выявленная шпионская программа Batavia, нацеленная на российские организации. Эксперты компании Касперский заявляют, что вредоносное ПО активно действует с июля 2024 года, ведя масштабную кампанию по похищению конфиденциальной информации. По официальным данным, атака начинается с рассылки фишинговых писем, маскирующихся под сообщения о необходимости подписания контрактов. Сообщения исходят с домена oblast-ru.
com, который принадлежит злоумышленникам. В письмах содержатся ссылки на архивные файлы, включающие вредоносные скрипты, которые при запуске заражают компьютер жертвы. Такой способ распространения позволяет злоумышленникам незаметно проникать в корпоративную сеть и начинать сбор данных. После активации Visual Basic Encoded скрипта (.VBE) происходит первичное профилирование системы и отправка сведений на контрольный сервер злоумышленников.
На этом этапе загружается основной вредоносный компонент, написанный на Delphi, который отвечает за основную добычу информации. Его особенность в том, что он демонстрирует пользователю поддельный контракт, отвлекая внимание, в то время как вредоносная программа скрытно собирает внутренние документы. Особое внимание уделяется офисным файлам форматов doc, docx, ods, odt, pdf, xls, xlsx и другим ключевым документам, хранящимся на корпоративных компьютерах. Кроме того, вредоносный модуль делает скриншоты экрана и копирует данные с подключенных внешних накопителей, что значительно расширяет объем похищаемой информации и повышает ущерб от компрометации системы. Одним из интересных аспектов Batavia является возможность загрузки дополнительного бинарного файла для расширенного сбора данных.
Этот компонент способна собирать файлы различных форматов, включая изображения (jpeg, jpg), электронные письма (eml), архивы (zip, rar), презентации (ppt, pptx, odp) и текстовые файлы (csv, rtf, txt). Таким образом, шпионская программа максимально охватывает все важные корпоративные материалы. Собранные данные передаются на отдельный домен ru-exchange.com, откуда также скачивается четвертый этап вредоносного ПО с неизвестной функциональностью. Такая сложная и многоступенчатая архитектура атаки позволяет злоумышленникам устанавливать контроль над зараженной системой длительное время, обходя защитные механизмы и затрудняя обнаружение.
По телеметрическим данным Касперского, за последний год более сотни пользователей из разных российских компаний получили фишинговые письма с вредоносными ссылками. Это свидетельствует о высоком уровне прицельности и масштабах кампании. Кроме того, помимо Batavia исследователи выявили и другую вредоносную программу NordDragonScan, распространяемую похожим способом и также направленную на кражу данных с Windows-машин. Вредоносное ПО NordDragonScan использует RAR-архив с файлами ярлыков, которые запускают выполнение HTA-скрипта через службу mshta.exe.
Такой метод обеспечивает скрытую загрузку и установку основного вредоносного компонента .NET, маскируясь под отображение безобидного документа на украинском языке. NordDragonScan также собирает данные из браузеров Chrome и Firefox и осуществляет системное сканирование, фиксируя при этом скриншоты и документы. Данные, похищенные с помощью NordDragonScan, отправляются на сервер kpuszkiev.com, где злоумышленники обеспечивают устойчивое присутствие вредоносного ПО с помощью изменений в реестре Windows.
Этот и аналогичные механизмы позволяют длительное время эксплуатировать скомпрометированные компьютеры, совершая кибершпионаж и украдя критически важную информацию. Возникает очевидная необходимость для российских фирм повышать уровень своей кибербезопасности. Внедрение комплексных антивирусных решений, усиление обучения сотрудников по вопросам распознавания фишинговых угроз, а также регулярный аудит IT-инфраструктуры становятся ключевыми мерами защиты от подобных угроз. Эксперты рекомендуют также использовать системы многофакторной аутентификации и сегментировать сеть для ограничения распространения вредоносного ПО в случае компрометации. Важно также своевременно обновлять программное обеспечение и применять патчи безопасности, чтобы минимизировать уязвимости, которыми пользуются злоумышленники.
