引言
自2025年3月初以来,我们的系统检测到俄罗斯多家机构员工设备上出现名为"договор-2025-5.vbe"等恶意文件的感染激增。攻击始于2024年7月的钓鱼邮件活动,攻击者冒充合同签署请求,通过恶意链接传播此前未知的Batavia间谍软件。该恶意软件包含VBA脚本和两个可执行文件组件,卡巴斯基将其检测为HEUR:Trojan.VBS.Batavia.gen和HEUR:Trojan-Spy.Win32.Batavia.gen。
第一阶段感染:VBS脚本
攻击者发送伪装成合同附件的钓鱼邮件,实际包含指向恶意域名(如https://oblast-ru[.]com)的链接。用户点击后会下载加密的VBE脚本文件(示例MD5: 2963FB4980127ADB7E045A0F743EAD05),该脚本作为下载器会从C2服务器获取12个逗号分隔的参数,包含:
- 保存文件名(\WebView.exe)
- WMI查询语句(获取OS版本)
- 目标操作系统版本(Windows 11) 4-5. COM对象ID(用于执行方法)
- WMI路径
- 文件头校验字节(77;90;80;0) 8-12. 其他URL参数和临时文件
第二阶段:WebView.exe
这个3.2MB的Delphi程序会:
- 从C2下载伪装内容显示给用户
- 收集系统日志(c:\windows\pfro.log等)
- 扫描办公文档(*.doc, *.xls等)
- 定期截屏
- 使用FNV-1a_32哈希算法避免重复上传
- 下载第三阶段载荷至%PROGRAMDATA%\jre_22.3\javav.exe
- 创建启动项快捷实现持久化
第三阶段:javav.exe
这个C++编写的模块新增功能包括:
- 扩展文件窃取类型(新增*.jpg, *.eml等12种格式)
- 动态更新C2地址(通过settrn.txt文件)
- 下载执行附加载荷(windowsmsg.exe)
- 使用computerdefaults.exe进行UAC绕过
- 修改注册表实现持久化:
1add HKCU\Software\Classes\ms-settings\Shell\Open\command /ve /t REG_SZ /d "%temp%\windowsmsg.exe <arg>"
受害者分析
主要针对俄罗斯工业企业,2024年8月至2025年6月期间超过100名用户受到感染。攻击者通过精心设计的钓鱼邮件和社会工程学手段突破防线。
防御建议
- 部署卡巴斯基Next XDR Expert解决方案
- 开展员工安全意识培训
- 实施多层次的威胁检测和响应机制
IOC指标
| 类型 | 值 |
|---|---|
| 文件哈希 | 2963FB4980127ADB7E045A0F743EAD05 (VBE) |
| C2域名 | oblast-ru[.]com, ru-exchange[.]com |
| 持久化路径 | %APPDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\Jre22.3.lnk |