Batavia Spyware
Seit Juli 2024 zielt eine ausgeklügelte Cyberspionagekampagne aktiv auf russische Organisationen ab. Im Mittelpunkt der Operation steht eine bisher nicht dokumentierte Spyware namens Batavia, die über irreführende E-Mails verbreitet wird, die als legitime Vertragsangebote getarnt sind.
Inhaltsverzeichnis
Die Infektionskette: Von E-Mail bis Spionage
Der Angriff beginnt mit sorgfältig gestalteten Phishing-E-Mails, die von der vom Angreifer kontrollierten Domain oblast-ru.com versendet werden. Diese Nachrichten locken die Empfänger mit einer gefälschten Vertragsunterzeichnungsaufforderung und enthalten einen schädlichen Link. Durch Anklicken des Links wird der Download einer Archivdatei mit einem Visual Basic-codierten Skript (.VBE-Datei) gestartet.
Nach der Ausführung führt das Skript eine Aufklärung durch, indem es detaillierte Informationen über das Hostsystem sammelt und diese an einen Remote-Server überträgt. Dies löst den Download einer sekundären Nutzlast aus, einer in Delphi geschriebenen ausführbaren Datei.
Delphi-Malware: Ablenkung und Datendiebstahl
Die Delphi-basierte Schadsoftware präsentiert wahrscheinlich einen gefälschten Vertrag, um das Opfer bei der Stange zu halten. Gleichzeitig sammelt sie diskret eine Vielzahl sensibler Informationen, darunter:
- Systemprotokolle und Informationen zur installierten Software
- Microsoft Office und andere Dokumenttypen (*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx)
- Screenshots und Daten von allen mit dem Host verbundenen Wechseldatenträgern
Die Funktionalität der Malware endet hier nicht. Sie lädt außerdem eine zusätzliche Binärdatei von ihrem Command-and-Control-Server herunter. Diese Datei ist darauf ausgelegt, ein noch breiteres Spektrum an Dateitypen für die Exfiltration zu erfassen.
Erweiterte Dateisammlungsfunktionen
Die Binärdatei der zweiten Stufe erweitert den Umfang der gestohlenen Daten erheblich und umfasst:
- Bilder und Grafikdateien: *.jpeg, *.jpg, *.cdr
- E-Mails und textbasierte Inhalte: *.eml, *.csv, *.txt, *.rtf
- Präsentationen und Archive: *.ppt, *.pptx, *.odp, *.rar, *.zip
Alle gesammelten Informationen werden auf eine andere Domain, ru-exchange.com, exfiltriert, die auch als Auslieferungspunkt für eine ausführbare Datei der vierten Stufe dient. Diese unbekannte Komponente setzt die Angriffskette wahrscheinlich mit weiteren bösartigen Aktionen fort.
Weitreichende Auswirkungen und gesammelte Daten
Im vergangenen Jahr wurden über 100 Benutzer in mehreren Dutzend Organisationen mit diesen Phishing-Nachrichten angegriffen. Die endgültige Nutzlast gewährleistet eine gründliche Datenerfassung und exfiltriert nicht nur persönliche und Unternehmensdokumente, sondern auch:
- Eine vollständige Bestandsaufnahme der installierten Software
- Informationen zu Gerätetreibern
- Details zu den Betriebssystemkomponenten
Fazit: Eine koordinierte und sich entwickelnde Spionagebedrohung
Die Batavia-Spyware-Kampagne stellt eine koordinierte und anhaltende Bedrohung der Unternehmenssicherheit in Russland dar. Die mehrstufige Infektionskette und die Fähigkeit, ein breites Spektrum an Dateien und Systeminformationen zu extrahieren, machen sie zu einem beeindruckenden Spionagewerkzeug. Unternehmen müssen wachsam bleiben und proaktive Sicherheitsmaßnahmen ergreifen, um sich gegen solche komplexen, irreführenden Angriffe zu schützen.
