引言
自2025年3月初以来,我们的系统监测到多家俄罗斯组织员工设备中出现名为"договор-2025-5.vbe"、“приложение.vbe"等类似文件的检测量上升。该定向攻击始于2024年7月,通过伪装合同签署的钓鱼邮件传播恶意链接,主要目的是用新型Batavia间谍软件感染组织以窃取内部文档。恶意软件包含VBA脚本和两个可执行文件,卡巴斯基解决方案将其检测为HEUR:Trojan.VBS.Batavia.gen和HEUR:Trojan-Spy.Win32.Batavia.gen。
感染第一阶段:VBS脚本
以2月份收到的邮件为例,攻击主题自活动开始保持稳定。邮件要求员工下载所谓的合同附件,实际为恶意链接:https://oblast-ru[.]com/oblast_download/?file=hc1-[redacted]。发件人地址同属攻击者控制的oblast-ru[.]com域名,且每个邮件的file参数唯一。
点击链接后下载包含单个文件Договор-2025-2.vbe的压缩包(MD5: 2963FB4980127ADB7E045A0F743EAD05),该脚本使用微软专有算法加密。解密后显示为下载器,从硬编码URL获取12个逗号分隔参数:
| 序号 | 值 | 描述 |
|---|---|---|
| 1 | \WebView.exe | 保存文件名 |
| 2 | Select * from Win32_OperatingSystem | 查询OS版本和构建号 |
| 3 | Windows 11 | 后续执行所需OS版本 |
| 4 | new:c08afd90-f2a1-11d1-8455-00a0c91f3880 | ShellBrowserWindow对象ID |
| 5 | new:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B | WScript.Shell对象ID |
| 6 | winmgmts:\.\root\cimv2 | WMI路径 |
| 7 | 77;90;80;0 | 下载文件首字节 |
| 8 | &dd=d | 文件下载附加参数 |
| 9 | &i=s | 发送文件大小附加参数 |
| 10 | &i=b | 发送OS构建号附加参数 |
| 11 | &i=re | 发送错误信息附加参数 |
| 12 | \winws.txt | 设备上创建的空白文件 |
脚本通过访问https://oblast-ru[.]com/oblast_download/?file=hc1-[redacted]&dd=d下载WebView.exe(MD5: 5CFA142D1B912F31C9F761DDEFB3C288)至%TEMP%目录并执行。根据OS版本匹配情况选择Navigate()或Run()方法。
感染第二阶段:WebView.exe
WebView.exe是用Delphi编写的3,235,328字节可执行文件。启动后从https://oblast-ru[.]com/oblast_download/?file=1hc1-[redacted]&view下载内容至C:\Users[username]\AppData\Local\Temp\WebView并显示(推测为伪造合同)。同时开始收集受感染计算机信息并发送至https://ru-exchange[.]com/mexchange/?file=1hc1-[redacted](ID前添加数字1)。
间谍软件收集以下类型文件:
- 系统日志:c:\windows\pfro.log, setupapi.dev.log, setupapi.setup.log
- 程序列表:c:\program files*目录列表
- Office文档:*.doc, *.docx, *.ods, *.odt, *.pdf, *.xls, *.xlsx
为避免重复发送,在%TEMP%创建h12文件存储每个上传文件前40,000字节的4字节FNV-1a_32哈希值。
WebView.exe还从https://oblast-ru[.]com/oblast_download/?file=1hc1-[redacted]&de下载下一阶段可执行文件至%PROGRAMDATA%\jre_22.3\javav.exe,并在启动文件夹创建快捷方式%APPDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\Jre22.3.lnk。
感染第三阶段:javav.exe
javav.exe(MD5: 03B728A6F6AAB25A65F189857580E0BD)为C++编写,功能与WebView.exe相似但扩展了文件类型:
- 图像和矢量图形:*.jpeg, *.jpg, *.cdr
- 电子表格:*.csv
- 邮件:*.eml
- 演示文稿:*.ppt, *.pptx, *.odp
- 压缩包:*.rar, *.zip
- 文本文档:*.rtf, *.txt
数据发送至https://ru-exchange[.]com/mexchange/?file=2hc1-[redacted](ID前添加数字2)。
新增命令:
- set:更改C2服务器
- exa/exb:下载执行附加文件
在独立线程中定期请求https://ru-exchange[.]com/mexchange/?set&file=2hc1-[redacted]&data=[xxxx]获取用232字节XOR密钥加密的新C2地址,保存至settrn.txt。
另一线程定期连接https://ru-exchange[.]com/mexchange/?exa&file=2hc1-[redacted]&data=[xxxx],接收使用单字节XOR密钥7A加密并Base64编码的可执行文件,解码后保存为%TEMP%\windowsmsg.exe。通过https://ru-exchange[.]com/mexchange/?exb&file=2hc1-[redacted]&data=[xxxx]获取命令行参数。
使用computerdefaults.exe和reg.exe修改注册表实现UAC绕过(T1548.002):
|
|
受害者
受害者为俄罗斯工业企业,超过100名用户收到钓鱼邮件。
结论
Batavia是2024年7月出现的新型间谍软件,通过钓鱼邮件传播,点击伪装文档链接触发三阶段感染过程,窃取文档、安装程序列表、驱动和OS组件信息。建议组织采用包含威胁狩猎、事件检测和响应能力的综合防护方案,并加强员工安全意识培训。
威胁指标
恶意文件哈希:
- Договор-2025-2.vbe: 2963FB4980127ADB7E045A0F743EAD05
- webview.exe: 5CFA142D1B912F31C9F761DDEFB3C288
- javav.exe: 03B728A6F6AAB25A65F189857580E0BD
C2地址:
- oblast-ru[.]com
- ru-exchange[.]com