Неизвестная хакерская группировка ворует документы российских предприятий
Новая программа Batavia используется в фишинговых атаках на промышленный сектор в России. Кто стоит за ней, неизвестно.
Область-ру
«Лаборатория Касперского» опубликовала пространное исследование новой шпионской программы Batavia, которую с 2024 г. используют в атаках на российские предприятия.
Атаки начинаются с фишинговых рассылок, где сотрудникам целевых организаций предлагается скачать файл некоего договора из вложения.
Однако на деле файл представляет собой вредоносную ссылку формата https://oblast-ru[.]com/oblast_download/?file=hc1-[redacted]. Aргумент file=hc1-[redacted] уникален для каждого письма и используется на последующих этапах заражения.
Вероятнее всего, атаки на российские предприятия ведет ранее неизвестная хакерская группировка.
Почтовые адреса отправителей находятся в том же домене (oblast-ru.com): по-видимому, весь этот домен принадлежит самим операторам атаки.
Данные о владельцах скрыты, известно лишь, что регистрацию домена в 2024 г. производила компания американо-канадская фирма Tucows, а услуги именных серверов (Nameservers) предоставляет исландский хостер FlokiNET, который позиционирует себя как безопасную площадку для хостинга проектов по защите свободы слова, свободы печати и любых расследовательских и whistleblower-проектов. Одна из подсетей FlokiNET располагается в Нидерландах, и именно там, по-видимому, и хостится oblast-ru.com.
Если потенциальная жертва переходит по ссылке, ей загружается архив со скриптом «Договор-2025-2.vbe», зашифрованным проприетарным алгоритмом Microsoft (MD5: 2963FB4980127ADB7E045A0F743EAD05).
Этот скрипт является загрузчиком, который получает по прописанному в вышеупомянутом коде URL-адресу специально сформированную строку из 12 параметров, разделенных запятыми.
«Это аргументы для различных вредоносных функций. Так, например, скрипт определяет версию операционной системы зараженного устройства и отправляет ее на C2-сервер злоумышленников», - пишут исследователи.
Скрипт затем скачивает файл WebView.exe и сохраняет его в директорию %TEMP%, а затем запускает. Если версию ОС получить не удалось или она не совпадает с версией, полученной с C2-сервера, загрузчик использует метод Navigate(), в противном случае - Run().
WebView.exe написан на языке Delphi; во время запуска он загружает контент из https://oblast-ru[.]com/oblast_download/?file=1hc1-[redacted]&view и сохраняет его в директорию C:\Users\[username]\AppData\Local\Temp\WebView, после чего отображает скачанные данные в своем окне.
«На момент исследования ссылка была уже неактивна, но мы предполагаем, что по этому адресу должен находиться текст поддельного договора, о котором шла речь в письме», - отмечают в «Лаборатории».
Одновременно вредонос производит сбор информации со скомпрометированной системы и отправляет ее на адрес с другим доменом - но тем же идентификатором заражения: https://ru-exchange[.]com/mexchange/?file=1hc1-[redacted].
Шпионская программа собирает системные журналы и офисные документы отовсюду, куда может дотянуться, включая съемные носители. Кроме того она регулярно делает снимки экрана и также пересылает их на контрольный сервер.
Сверх этого, WebView.exe скачивает еще один исполняемый файл (опять-таки из oblast-ru.com) - javav.exe.
Это тоже инфостилер, аналогичный по назначению WebView, но более богатый функционально. Он написан на C++ и собирает не только текстовые документы, но и графические изображения, растровые и векторные, таблицы, файлы электронной почты (.eml), презентации, в том числе, созданные с помощью Open Office, а также архивы. Новые собранные данные отправляются по адресу https://ru-exchange[.]com/mexchange/?file=2hc1-[redacted]; цифра 2, вероятно, обозначает этап заражения.
Недостающее звено
В публикации упоминается еще один файл - windowsmsg.exe, для запуска которого применялась сравнительно хитрая методика обхода защитной системы UAC: злоумышленники использовали встроенную утилиту Windows computerdefaults.exe и модифицировали два ключа реестра через reg.exe:
add HKCU\Software\Classes\ms-settings\Shell\Open\command /v DelegateExecute /t REG_SZ /d "" /f
add HKCU\Software\Classes\ms-settings\Shell\Open\command /f /ve /t REG_SZ /d "%temp%\windowsmsg.exe <arg>"
К моменту публикации файл windowsmsg.exe уже не был доступен на командном сервере. Эксперты «Лаборатории» считают, что это был еще один вредонос с дополнительными функциями.
«На общем фоне эта комбинация заражения выглядит почти примитивной», - отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. «Возможно, это работают какие-то хактивисты среднего уровня подготовленности, которые, впрочем, располагают самописным вредоносным ПО. Для того, чтобы судить о его эффективности, нужны точные данные о количестве заражений».
Фишинговые письма с Batavia получили свыше сотни пользователей в нескольких десятках организаций промышленного сектора. Какое количество реальных заражений произошло, в компании не уточнили.