Russische organisaties zijn het doelwit geweest van een voortdurende campagne die een voorheen zonder papieren spyware van Windows, Batavia, levert.
De activiteit, per cybersecurity -verkoper Kaspersky, is actief sinds juli 2024.
“De beoogde aanval begint met aas -e -mails met kwaadaardige links, verzonden onder het mom van het ondertekenen van een contract,” zei het Russische bedrijf. “Het belangrijkste doel van de aanval is om organisaties te infecteren met de voorheen onbekende Batavia -spyware, die vervolgens overgaat tot het stelen van interne documenten.”
De e-mailberichten worden verzonden vanuit het domein “oblast-ru (.) Com”, waarvan wordt gezegd dat het eigendom is van de aanvallers zelf. De links ingebed in de digitale missieven leiden tot het downloaden van een archiefbestand met een Visual Basic Codeed Script (.vBE) -bestand.
Wanneer ze worden uitgevoerd, profileert het script de gecompromitteerde host en exfiltreert de systeeminformatie naar de externe server. Dit wordt gevolgd door het ophalen van een payload op de volgende fase van dezelfde server, een uitvoerbaar geschreven in Delphi.
De malware toont waarschijnlijk een nepcontract aan het slachtoffer als afleiding tijdens het verzamelen van systeemlogboeken, kantoordocumenten ( *.doc, *.docx, *.Ods, *.Odt, *.pdf, *.xls en *.xlsx) en screenshots op de achtergrond. De gegevensverzameling strekt zich ook uit tot verwijderbare apparaten die aan de host zijn gekoppeld.
Een andere mogelijkheid van de Delphi -malware is om een eigen binair getal te downloaden van de server, die zich richt op een bredere set bestandsuitbreidingen voor de volgende verzameling. Dit omvat afbeeldingen, e -mails, Microsoft PowerPoint -presentaties, archiefbestanden en tekstdocumenten ( *.Jpeg, *.Jpg, *.cdr, *.csv, *.eml, *.ppt, *.pptx, *.odp, *.rar, *.zip, *.rtf, en *.txt).
De nieuw verzamelde gegevens worden vervolgens verzonden naar een ander domein (“ru-exchange (.) Com”), waar een onbekend uitvoerbaar bestand wordt gedownload als een vierde fase voor het verder voortzetten van de aanvalsketen.
Telemetriegegevens van Kaspersky laten zien dat meer dan 100 gebruikers in verschillende tientallen organisaties het afgelopen jaar phishing -e -mails hebben ontvangen.
“Als gevolg van de aanval, batavia, exfiltreert de documenten van het slachtoffer, evenals informatie zoals een lijst met geïnstalleerde programma’s, stuurprogramma’s en besturingssysteemcomponenten,” zei het bedrijf.
De openbaarmaking komt als Fortinet Fortiguard Labs een kwaadaardige campagne beschreef die een Windows Stealer malware -codenaam Norddragonscan levert. Hoewel de exacte initiële toegangsvector niet duidelijk is, wordt aangenomen dat het een phishing -e -mail is die een link verspreidt om de download van een RAR -archief te activeren.
“Eenmaal geïnstalleerd, onderzoekt Norddragonscan de host- en kopieedocumenten, oogst hij hele Chrome- en Firefox -profielen en maakt hij screenshots,” zei beveiligingsonderzoeker Cara Lin.
Presenteer in het archief is een Windows -sneltoets (LNK) -bestand dat heimelijk gebruik maakt van “mshta.exe” om een op afstand gehoste HTML -applicatie (HTA) uit te voeren. Deze stap resulteert in het ophalen van een goedaardig lokvogeldocument, terwijl een snode .NET -lading stilletjes op het systeem wordt gevallen.
Norddragonscan, zoals de Stealer -malware wordt genoemd, legt verbindingen tot stand met een externe server (“kpuszkiev (.) Com”), stelt persistentie op via Windows -registerwijzigingen en voert uitgebreide verkenning van het gecompromitteerde machine uit om gevoelige gegevens te verzamelen en de informatie terug te brengen naar de server via een HTTP -postverzoek.
“Het RAR -bestand bevat LNK -oproepen die MSHTA.exe oproepen om een kwaadwillig HTA -script uit te voeren, met een lokvogeldocument in Oekraïens, zei Lin.” Ten slotte installeert het stilletjes de lading op de achtergrond. Norddragonscan is in staat om de gastheer te scannen, een screenshot vast te leggen, documenten en PDF’s te extraheren en Chrome- en Firefox -profielen te snuiven. “
