Неизвестная хакерская группировка ворует документы российских предприятий

Новая программа Batavia используется в фишинговых атаках на промышленный сектор в России. Кто стоит за ней, неизвестно.


Область-ру

«Лаборатория Касперского» опубликовала пространное исследование новой шпионской программы Batavia, которую с 2024 г. используют в атаках на российские предприятия.

Атаки начинаются с фишинговых рассылок, где сотрудникам целевых организаций предлагается скачать файл некоего договора из вложения.

Однако на деле файл представляет собой вредоносную ссылку формата https://oblast-ru[.]com/oblast_download/?file=hc1-[redacted]. Aргумент file=hc1-[redacted] уникален для каждого письма и используется на последующих этапах заражения.

Вероятнее всего, атаки на российские предприятия ведет ранее неизвестная хакерская группировка.

Почтовые адреса отправителей находятся в том же домене (oblast-ru.com): по-видимому, весь этот домен принадлежит самим операторам атаки.

Данные о владельцах скрыты, известно лишь, что регистрацию домена в 2024 г. производила компания американо-канадская фирма Tucows, а услуги именных серверов (Nameservers) предоставляет исландский хостер FlokiNET, который позиционирует себя как безопасную площадку для хостинга проектов по защите свободы слова, свободы печати и любых расследовательских и whistleblower-проектов. Одна из подсетей FlokiNET располагается в Нидерландах, и именно там, по-видимому, и хостится oblast-ru.com.

Если потенциальная жертва переходит по ссылке, ей загружается архив со скриптом «Договор-2025-2.vbe», зашифрованным проприетарным алгоритмом Microsoft (MD5: 2963FB4980127ADB7E045A0F743EAD05).

Этот скрипт является загрузчиком, который получает по прописанному в вышеупомянутом коде URL-адресу специально сформированную строку из 12 параметров, разделенных запятыми.



Racool_studio / Freepik Хакеры ранее неизвестной группировки таскают документы из российских предприятий

«Это аргументы для различных вредоносных функций. Так, например, скрипт определяет версию операционной системы зараженного устройства и отправляет ее на C2-сервер злоумышленников», - пишут исследователи.

Скрипт затем скачивает файл WebView.exe и сохраняет его в директорию %TEMP%, а затем запускает. Если версию ОС получить не удалось или она не совпадает с версией, полученной с C2-сервера, загрузчик использует метод Navigate(), в противном случае - Run().

WebView.exe написан на языке Delphi; во время запуска он загружает контент из https://oblast-ru[.]com/oblast_download/?file=1hc1-[redacted]&view и сохраняет его в директорию C:\Users\[username]\AppData\Local\Temp\WebView, после чего отображает скачанные данные в своем окне.

«На момент исследования ссылка была уже неактивна, но мы предполагаем, что по этому адресу должен находиться текст поддельного договора, о котором шла речь в письме», - отмечают в «Лаборатории».

Одновременно вредонос производит сбор информации со скомпрометированной системы и отправляет ее на адрес с другим доменом - но тем же идентификатором заражения: https://ru-exchange[.]com/mexchange/?file=1hc1-[redacted].

Шпионская программа собирает системные журналы и офисные документы отовсюду, куда может дотянуться, включая съемные носители. Кроме того она регулярно делает снимки экрана и также пересылает их на контрольный сервер.

Сверх этого, WebView.exe скачивает еще один исполняемый файл (опять-таки из oblast-ru.com) - javav.exe.

Это тоже инфостилер, аналогичный по назначению WebView, но более богатый функционально. Он написан на C++ и собирает не только текстовые документы, но и графические изображения, растровые и векторные, таблицы, файлы электронной почты (.eml), презентации, в том числе, созданные с помощью Open Office, а также архивы. Новые собранные данные отправляются по адресу https://ru-exchange[.]com/mexchange/?file=2hc1-[redacted]; цифра 2, вероятно, обозначает этап заражения.

Недостающее звено

В публикации упоминается еще один файл - windowsmsg.exe, для запуска которого применялась сравнительно хитрая методика обхода защитной системы UAC: злоумышленники использовали встроенную утилиту Windows computerdefaults.exe и модифицировали два ключа реестра через reg.exe:

add HKCU\Software\Classes\ms-settings\Shell\Open\command /v DelegateExecute /t REG_SZ /d "" /f

add HKCU\Software\Classes\ms-settings\Shell\Open\command /f /ve /t REG_SZ /d "%temp%\windowsmsg.exe <arg>"

К моменту публикации файл windowsmsg.exe уже не был доступен на командном сервере. Эксперты «Лаборатории» считают, что это был еще один вредонос с дополнительными функциями.

«На общем фоне эта комбинация заражения выглядит почти примитивной», - отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. «Возможно, это работают какие-то хактивисты среднего уровня подготовленности, которые, впрочем, располагают самописным вредоносным ПО. Для того, чтобы судить о его эффективности, нужны точные данные о количестве заражений».

Фишинговые письма с Batavia получили свыше сотни пользователей в нескольких десятках организаций промышленного сектора. Какое количество реальных заражений произошло, в компании не уточнили.

Адрес новости:
https://safe.cnews.ru/news/top/2025-07-09_prostoj_infostiler_uspeshno