حمله جاسوسی سایبری با استفاده از بدافزار «Batavia» به سازمان‌های روسی

سجاد تیموری 3 هفته پیشآخرین بروزرسانی: تیر ۱۶, ۱۴۰۴

۰ 0 زمان مطالعه یک دقیقه

حمله جاسوسی سایبری با استفاده از بدافزار «Batavia» به سازمان‌های روسی

یک جاسوس‌افزار ناشناخته با نام «Batavia» در قالب یک کمپین فیشینگ ایمیلی، شرکت‌های صنعتی بزرگ در روسیه را هدف قرار داده است. این کمپین از ترفندهای مرتبط با قراردادها به‌عنوان طعمه استفاده می‌کند.

بر اساس گزارش پژوهشگران، این عملیات حداقل از ژوئیه سال گذشته فعال بوده و همچنان ادامه دارد. داده‌های تله‌متری نشان می‌دهد که ایمیل‌های فیشینگ حاوی جاسوس‌افزار Batavia به دست کارکنان ده‌ها سازمان روسی رسیده‌اند.

از ژانویه ۲۰۲۵، این کمپین شدت بیشتری پیدا کرده و اوج فعالیت آن در اواخر فوریه مشاهده شده است.

زنجیره حمله‌ی Batavia
پژوهشگران شرکت Kaspersky اعلام کرده‌اند که این حملات با ارسال ایمیلی آغاز می‌شود که حاوی پیوندی است که به‌عنوان پیوست قرارداد جعلی نمایش داده می‌شود. با کلیک بر روی این پیوند، یک فایل فشرده دانلود می‌شود که شامل یک اسکریپت مخرب با پسوند .VBE (Visual Basic Encoded) است.

با اجرای این اسکریپت، سیستم میزبان مورد شناسایی قرار گرفته و اطلاعات جمع‌آوری‌شده به سرور فرمان و کنترل (C2) مهاجم ارسال می‌گردد. در مرحله‌ی بعد، بدافزار بار دوم با دانلود فایل اجرایی WebView.exe از دامنه‌ی oblast-ru[.]com ادامه پیدا می‌کند.

مرحله دوم یک بدافزار مبتنی بر Delphi است که یک قرارداد جعلی به قربانی نمایش می‌دهد تا حواس او را پرت کرده و در پس‌زمینه لاگ‌های سیستم، اسناد و تصاویر صفحه را جمع‌آوری کند.

داده‌های جمع‌آوری شده سپس به سایت ru-exchange[.]com ارسال می‌شوند، در حالی که بدافزار برای جلوگیری از بارگذاری‌های تکراری از هش اولین ۴۰,۰۰۰ بایت هر فایل استفاده می‌کند.

در نهایت، مرحله سوم بارگذاری می‌شود: فایل اجرایی ‘javav.exe’، یک دزد داده C++ که یک میانبر راه‌اندازی به سیستم عامل اضافه می‌کند تا در هنگام بوت شدن سیستم اجرا شود.

بارگذاری نهایی جمع‌آوری داده‌ها را بیشتر گسترش می‌دهد و انواع فایل‌های اضافی (تصاویر، ارائه‌ها، ایمیل‌ها، آرشیوها، صفحات گسترده، فایل‌های متنی و RTF) را هدف قرار می‌دهد.

کاسپرسکی در گزارش خود اشاره می‌کند که احتمالاً یک بارگذاری چهارم به نام ‘windowsmsg.exe’ وجود دارد که احتمالاً برای مرحله بعدی حمله استفاده می‌شود، اما محققان نتوانستند آن را بازیابی کنند.

محققان درباره هدف کمپین حدس نزده‌اند، اما هدف‌ها به همراه قابلیت‌های باتاوی ممکن است نشان‌دهنده یک عملیات جاسوسی در فعالیت‌های صنعتی روسیه باشد.