Шпионская кампания Windows «Batavia» нацелена на десятки российских организаций
Ранее не документированная шпионская программа под названием «Batavia» атакует крупные промышленные предприятия в России посредством фишинговой электронной рассылки, в которой используются приманки, связанные с контрактами.
Исследователи полагают, что операция началась как минимум с июля прошлого года и продолжается до сих пор. Согласно данным телеметрии, фишинговые письма, отправленные Batavia, попали в руки сотрудников нескольких десятков российских организаций.
С января 2025 года кампания усилилась и достигла пика к концу февраля.
Процент жертв в месяц
Источник: «Лаборатория Касперского»
Цепь атак Батавии
Исследователи «Лаборатории Касперского» утверждают, что атаки начинаются с электронного письма, в которое встроена ссылка, замаскированная под вложение к контракту. При нажатии на неё загружается архив, содержащий вредоносный файл скрипта Visual Basic Encoded (.VBE).
При запуске скрипт профилирует хост-систему и отправляет данные на командный сервер злоумышленника (C2). Затем он загружает полезную нагрузку следующего этапа, WebView.exe, с домена oblast-ru[.]com .
Электронная почта, использованная в кампании «Батавия»
Источник: Kaspersky
Второй этап — вредоносное ПО на базе Delphi, которое показывает жертве поддельный контракт для отвлечения внимания, одновременно собирая системные журналы, документы и делая снимки экрана в фоновом режиме.
Собранные данные затем передаются на ru-exchange[.]com , при этом вредоносная программа использует хэш первых 40 000 байт каждого файла, чтобы избежать лишних загрузок.
Наконец, он извлекает полезную нагрузку третьего этапа, «javav.exe», похититель данных C++, и добавляет ярлык запуска для его запуска при загрузке ОС.
Окончательная полезная нагрузка еще больше расширяет сбор данных, охватывая дополнительные типы файлов (изображения, презентации, электронные письма, архивы, электронные таблицы, TXT-файлы и RTF-файлы).
В отчете Касперского отмечается , что, вероятно, существует и четвертая полезная нагрузка под названием « windowsmsg.exe », которая, вероятно, используется для следующего этапа атаки, однако исследователям не удалось ее получить.
Исследователи не высказывали предположений о целях кампании, но цели в сочетании с возможностями «Батавии» могут указывать на шпионскую операцию за промышленной деятельностью России.
About The Author
