Всплеск активности шпионской кампании Batavia на российских промышленных предприятиях
С начала марта 2025 года системы кибербезопасности зафиксировали значительное увеличение количества файлов, связанных с шпионской кампанией Batavia, нацеленной на российские организации. Эта атака, стартовавшая в июле 2024 года, направлена на кражу конфиденциальной информации и внутренних документов, преимущественно в промышленных секторах.
Методы заражения и распространения
Основным способом проникновения в систему служат электронные письма-приманки, которые маскируются под запросы на подписание контрактов. Имя вредоносных файлов часто выглядит как Negotiable-2025-5.VBE, что вызывает у пользователей доверие. Письма содержат вредоносные ссылки, ведущие к загрузке и запуску нового шпионского ПО.
Вредоносная программа состоит из нескольких компонентов:
- VBA-скрипт — начальный загрузчик, который получает параметры с жестко заданного URL, собирает информацию об операционной системе и отправляет данные на сервер управления (C2).
- WebView.exe — исполняемый файл, написанный на Delphi, сохраняется в каталоге %TEMP%. Он обладает возможностями фильтрации системных журналов, офисных документов и периодического создания скриншотов экрана.
- Javav.exe — компонент, написанный на C++, внедряется в системные каталоги для расширения функционала шпионского ПО. Он поддерживает постоянную связь с сервером C2, может менять командные серверы и загружать дополнительные модули.
Особенности реализации и устойчивость атаки
Уникальным элементом Batavia является метод предотвращения повторной отправки дубликатов файлов — программа сохраняет хэш-записи уже отправленных данных, что снижает риск обнаружения. Кроме того, javav.exe использует обход контроля учетных записей пользователей (UAC) при помощи встроенных утилит Windows и изменений в реестре, что обеспечивает ей непрерывную работу и низкую заметность.
Целевые жертвы и масштаб атаки
Зафиксировано, что шпионская кампания затронула более 100 сотрудников различных российских промышленных предприятий. Это указывает на стратегический характер атаки, направленной на получение оперативных данных предприятий. Среди похищаемой информации — списки программного обеспечения, драйверы устройств и подробности об операционных системах.
Заключение
Многоэтапный и скрытный механизм заражения Batavia демонстрирует высокий уровень технологической изощрённости злоумышленников. Постоянная активность угрозы подчеркивает важность строгого соблюдения правил кибербезопасности для предотвращения шпионских действий и защиты критически важных данных.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Шпионская кампания Batavia угрожает критическим системам России".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.