Tanımlanamayan bir casus yazılım olan Batavia, Temmuz 2024’ten bu yana Rus sanayi organizasyonlarını hedeflemek için sofistike bir kimlik avı operasyonu kullanıyor.
Kaspersky araştırmacıları, Mart 2025’in başından beri tespitlerde keskin bir artış tespit ettiler ve düzinelerce kuruluşun 100’den fazla kullanıcısı sözleşme anlaşmaları olarak gizlenmiş e -postaları yemin avına düştü.
Genellikle договор-2025-5.vbe veya приложение.vbe (“sözleşme” veya “ek” e tercüme) gibi dosya adları içeren bu e-postalar, çalışanları çok aşamalı bir enfeksiyon süreci başlatan kötü niyetli komut dosyaları indirmeye çeker.
Batavia’nın nihai amacı, duyarlı iç belgeleri ve sistem verilerini yaymak ve örgütsel güvenlik için önemli bir tehdit oluşturmaktır.
Sofistike çok aşamalı bir saldırı kampanyası
Saldırı, alıcıları Oblast-RU gibi saldırgan kontrollü alanlarda barındırılan kötü amaçlı bağlantıları tıklamaya yönelik kimlik avı e-postalarıyla başlar.[.]com.
Tıkladıktan sonra kullanıcılar, indirici görevi gören договор-2025-2.vbe gibi şifreli bir VBS komut dosyasını indirir.
Bu komut dosyası, OS sürümünü tanımlamak ve saldırganların komut ve kontrol (C2) sunucusuyla iletişim kurmak da dahil olmak üzere kötü amaçlı işlevlerini yürütmek için sabit kodlu bir URL’den bir dizi 12 virgülle ayrılmış parametre alır.
İşletim sistemi saldırganların gereksinimleriyle (örn. Windows 11) eşleşiyorsa, bir sonraki yükü, WebView.exe’yi Delphi tarafından yazılmış bir yürütülebilir dosyayı indirir.
Bu ikinci aşamalı kötü amaçlı yazılım, sistem günlüklerini, ofis belgelerini ve ekran görüntülerini gizlice toplarken, daha sonra başka bir C2 alanına gönderilen RUSE, RU-Exchange’a gönderilirken sahte bir sözleşme gösterir.[.]com.
Enfeksiyon, veri hırsızlığı kapsamını görüntüler, e-postalar ve arşivler gibi ek dosya türleri ekleyecek şekilde genişleten C ++ tabanlı bir yürütülebilir dosyası olan Javav.exe ile üçüncü bir aşamaya yükselir.
Ayrıca, dinamik olarak değiştirilen C2 sunucuları ve bir UAC bypass tekniği aracılığıyla ek yükler yürütme gibi yeni özellikler sunar ve saldırganların sisteminde daha da yerleşir.
Gelişen tehdit
Batavia’yı özellikle tehlikeli kılan şey, gelişen doğası ve kalıcılık mekanizmalarıdır.
Casus yazılım, her aşamada benzersiz enfeksiyon kimlikleri kullanır, ilerlemeyi izlemek için rakamları ekler ve yedek veri açığa çıkmasını önlemek için şifreleme ve karma kullanır.
Ayrıca, ayrıcalık yükseltme için kayıt defteri anahtarlarını değiştirme ve yeniden başlatmalar boyunca kalıcılık için başlangıç klasöründe kısayollar oluşturma gibi gelişmiş kaçırma taktiklerini de entegre eder.
Kaspersky, bu kötü amaçlı yazılımın bileşenlerini heur: trojan.vbs.batavia.gen ve hece: Trojan-spy.win32.batavia.gen imzası altında tespit etti.
Kampanya 2015 ortasına aktif kaldıkça, özellikle casus yazılımların, özellikleri soruşturma altında kalan ek yükler indirme yeteneği göz önüne alındığında, daha fazla hasar potansiyeli büyük görünür.
Kuruluşlar bu tür tehditlerle mücadele etmek için çok katmanlı bir savunma stratejisi benimsemelidir.
Kaspersky Next XDR uzmanı gibi çözümler, Kaspersky Otomatik Güvenlik Bilinçlendirme Platformu gibi platformlar aracılığıyla çalışan eğitimi, kimlik avına duyarlılığı azaltmak için kritik öneme sahiptir.
Bu tür çok aşamalı saldırıları erken tespit etmek ve azaltmak için düzenli güvenlik denetimleri ve güncellenmiş uç nokta koruması da gereklidir.
Uzlaşma Göstergeleri (IOC)
| Bileşen | Hash (MD5) | C2 adresleri |
|---|---|---|
| Anlaşma-2015-2.vje | 2963FB4980127ADB7E045A0F743ED05 | oblast-ru[.]com |
| WebView.exe | 5CFA142D1B912F31C9F761DDEFB3C288 | Ru-Change[.]com |
| Javav.exe | 03b728a6f6aab25a65f189857580e0bd | – |
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt