详细内容或原文请订阅后点击阅览
新的巴达维亚间谍软件针对俄罗斯工业企业
自2025年3月以来,虚假的合同电子邮件一直在针对俄罗斯组织的有针对性攻击中传播巴达维亚间谍软件。自2025年3月以来,针对俄罗斯组织的有针对性的网络钓鱼运动使用了以伪造合同主题的电子邮件进行传播Batavia Spyware,这是一种旨在窃取内部文件的新恶意软件。自2024年7月以来一直进行的袭击始于[…]
来源:Security Affairs _恶意软件新的巴达维亚间谍软件针对俄罗斯工业企业
自2025年3月以来,虚假的合同电子邮件一直在针对俄罗斯组织的有针对性攻击中传播巴达维亚间谍软件。
自2025年3月以来,针对俄罗斯组织的有针对性的网络钓鱼活动使用以伪造合同主题的电子邮件进行传播Batavia Spyware,这是一种新的恶意软件,旨在窃取内部文档。自2024年7月以来一直进行的攻击始于伪装成合同或附件的恶意.VBE文件的链接。该恶意软件包括一个VBA脚本和两个可执行文件,由卡巴斯基(Kaspersky)检测到trojan.batavia variants。
.vbe
“自2025年3月上旬以来,我们的系统记录了对类似文件的检测增加,其名称具有诸如俄罗斯各个组织的员工中的Dogovor。阅读俄罗斯网络安全公司Kaspersky发布的报告。 “有针对性的攻击始于包含恶意链接的诱饵电子邮件,这是以签订合同的借口发送的。”
到довор-2025-5.vbe
пр备
dogovor.vbe
报告
单击网络钓鱼消息中包含的链接下载一个VBE脚本,该脚本收集系统信息并从攻击者的域检索恶意软件文件(WebView.exe)。脚本检查OS版本以决定如何执行有效负载并将数据发送到命令和控制服务器(C2)服务器。攻击使用每封电子邮件量身定制的参数来管理感染阶段并逃避检测。
在攻击链的第二阶段,WebView.exe恶意软件(用Delphi编写)下载并显示假合同,然后开始监视感染系统。它收集系统日志,办公室文档,并定期捕获屏幕截图,并将其发送到新的C2服务器。为了避免重复上传,它可以放射每个文件。它还下载了一个新的恶意软件阶段(Javav.exe),并设置了一个启动快捷方式,以在重新启动时启动它,继续感染周期。
WebView.exejavav.exe
阶段
2HC1 -...
Windowsmsg.exe
Facebook