حمله جاسوسی سایبری با استفاده از بدافزار «Batavia» به سازمانهای روسی
یک جاسوسافزار ناشناخته با نام «Batavia» در قالب یک کمپین فیشینگ ایمیلی، شرکتهای صنعتی بزرگ در روسیه را هدف قرار داده است. این کمپین از ترفندهای مرتبط با قراردادها بهعنوان طعمه استفاده میکند.
بر اساس گزارش پژوهشگران، این عملیات حداقل از ژوئیه سال گذشته فعال بوده و همچنان ادامه دارد. دادههای تلهمتری نشان میدهد که ایمیلهای فیشینگ حاوی جاسوسافزار Batavia به دست کارکنان دهها سازمان روسی رسیدهاند.
از ژانویه ۲۰۲۵، این کمپین شدت بیشتری پیدا کرده و اوج فعالیت آن در اواخر فوریه مشاهده شده است.
زنجیره حملهی Batavia
پژوهشگران شرکت Kaspersky اعلام کردهاند که این حملات با ارسال ایمیلی آغاز میشود که حاوی پیوندی است که بهعنوان پیوست قرارداد جعلی نمایش داده میشود. با کلیک بر روی این پیوند، یک فایل فشرده دانلود میشود که شامل یک اسکریپت مخرب با پسوند .VBE (Visual Basic Encoded) است.
با اجرای این اسکریپت، سیستم میزبان مورد شناسایی قرار گرفته و اطلاعات جمعآوریشده به سرور فرمان و کنترل (C2) مهاجم ارسال میگردد. در مرحلهی بعد، بدافزار بار دوم با دانلود فایل اجرایی WebView.exe از دامنهی oblast-ru[.]com ادامه پیدا میکند.
مرحله دوم یک بدافزار مبتنی بر Delphi است که یک قرارداد جعلی به قربانی نمایش میدهد تا حواس او را پرت کرده و در پسزمینه لاگهای سیستم، اسناد و تصاویر صفحه را جمعآوری کند.
دادههای جمعآوری شده سپس به سایت ru-exchange[.]com ارسال میشوند، در حالی که بدافزار برای جلوگیری از بارگذاریهای تکراری از هش اولین ۴۰,۰۰۰ بایت هر فایل استفاده میکند.
در نهایت، مرحله سوم بارگذاری میشود: فایل اجرایی ‘javav.exe’، یک دزد داده C++ که یک میانبر راهاندازی به سیستم عامل اضافه میکند تا در هنگام بوت شدن سیستم اجرا شود.
بارگذاری نهایی جمعآوری دادهها را بیشتر گسترش میدهد و انواع فایلهای اضافی (تصاویر، ارائهها، ایمیلها، آرشیوها، صفحات گسترده، فایلهای متنی و RTF) را هدف قرار میدهد.
کاسپرسکی در گزارش خود اشاره میکند که احتمالاً یک بارگذاری چهارم به نام ‘windowsmsg.exe’ وجود دارد که احتمالاً برای مرحله بعدی حمله استفاده میشود، اما محققان نتوانستند آن را بازیابی کنند.
محققان درباره هدف کمپین حدس نزدهاند، اما هدفها به همراه قابلیتهای باتاوی ممکن است نشاندهنده یک عملیات جاسوسی در فعالیتهای صنعتی روسیه باشد.
