引言

自2025年3月起，我们的系统监测到俄罗斯多家机构员工设备上出现名为"договор-2025-5.vbe"等恶意脚本文件。攻击始于2024年7月的钓鱼邮件，诱骗用户点击伪装成合同附件的恶意链接。该间谍软件包含VBA脚本和两个可执行文件组件，卡巴斯基将其检测为HEUR:Trojan.VBS.Batavia.gen和HEUR:Trojan-Spy.Win32.Batavia.gen。

第一阶段感染：VBS脚本

攻击者发送主题为合同签署的钓鱼邮件，其中包含形如https://oblast-ru[.]com/oblast_download/?file=hc1-[redacted]的恶意链接。下载的VBE脚本会从C2服务器获取12个逗号分隔的参数，包含：

1. 要保存的文件名（\WebView.exe）
2. 用于查询OS版本的WMI命令
3. 要求的OS版本（Windows 11） 4-5. 用于执行文件的COM对象ID
4. WMI路径
5. 文件头校验字节（77;90;80;0） 8-12. 其他控制参数

脚本通过https://oblast-ru[.]com/oblast_download/?file=hc1-[redacted]&dd=d下载WebView.exe到%TEMP%目录并执行。

第二阶段感染：WebView.exe

这个3.2MB的Delphi程序会：

1. 显示伪装成合同文档的诱饵内容
2. 收集系统日志（pfro.log、setupapi.dev.log等）
3. 扫描办公文档（.doc, .xls, .pdf等）
4. 通过FNV-1a_32哈希算法去重
5. 将数据发送至https://ru-exchange[.]com/mexchange/?file=1hc1-[redacted]
6. 下载第三阶段载荷javav.exe到%PROGRAMDATA%\jre_22.3\
7. 创建启动项Jre22.3.lnk实现持久化

第三阶段感染：javav.exe

这个C++编写的模块新增功能包括：

1. 扩展文件窃取类型（.jpeg, .eml, .zip等）
2. 使用?set&file=2hc1-[redacted]动态更新C2地址
3. 通过?exa&file=2hc1-[redacted]下载windowsmsg.exe
4. 利用computerdefaults.exe和注册表键篡改实现UAC绕过：

1
2

add HKCU\Software\Classes\ms-settings\Shell\Open\command /ve /t REG_SZ /d "%temp%\windowsmsg.exe <arg>"
add HKCU\Software\Classes\ms-settings\Shell\Open\command /v DelegateExecute /t REG_SZ /d ""

受害者分析

主要针对俄罗斯工业企业，已发现数十家机构的100多名员工受影响。攻击持续至分析时仍未停止。

防御建议

1. 部署卡巴斯基Next XDR Expert解决方案
2. 开展员工安全意识培训
3. 监控异常进程创建（如WebView.exe、javav.exe）
4. 检查%TEMP%和%PROGRAMDATA%可疑文件
5. 审计注册表启动项变更

IOC指标