Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
Kimlik avı e -postaları kötü amaçlı yazılımları sözleşme dosyaları olarak gizler
Prajeet Nair (@prajeaetspeaks) •
9 Temmuz 2025
Bir Rus siber güvenlik şirketi, bilgisayar korsanlarının daha önce belgelenmemiş bir casus yazılım kullanarak Rusya’nın sanayi sektörünü hedeflediklerini ve sözleşmeli temalı e-postalarla sarıldığını uyarıyor.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Kaspersky, kampanyanın kökenlerini Temmuz 2024’e kadar izleyerek “Batavia” casus yazılımı olarak adlandırdı. Kampanya düzinelerce Rus organizasyonunda 100’den fazla kullanıcıyı tehlikeye attı. Saldırganlar, çalışanları hassas belgeleri ve sistem verilerini çalan casus yazılımları indirmeye kandırmak için resmi sözleşme teklifleri olarak gizlenmiş e -postaları kullanır.
Moskova merkezli şirket, kampanyayı bir tehdit oyuncusuna bağlamıyor. (Görmek: Zorlu görünüyor: Rusya Trompetleri Ukrayna Pro-Hacker Tutuklamaları).
Enfeksiyon, kurbanlar, bir kimlik avı mesajına gömülü bir bağlantıyı tıklattığında, tipik olarak sözleşme dosyalarına atıfta bulunarak başlar. договор-2025.vbeAnlam contract-2025.vbe. Bağlantı, uygulama komut dosyası için şifreli bir görsel temel sunar. Bir kez yürütüldüğünde, komut dosyası bir indirici görevi görür ve komut ve kontrol altyapısından ek bileşenler getirir.
İlk büyük yük, WebView.exe Sistem günlüklerini, yerel sürücülerden gelen belgeleri toplar ve periyodik olarak ekran görüntüleri alır. Verileri ikinci saldırgan kontrollü bir alana püskürtür, ru-exchange.comsaldırının tüm aşamalarında devam eden benzersiz bir enfeksiyon kimliği ile etiketleme.
Ayrıca başka bir yük ekler, javav.exeProgramData klasörüne girer ve başlangıçta otomatik olarak uygulamaya koyar.
İkinci yük, JPEG’ler, vektör grafikleri, elektronik tablolar, e -postalar, sunumlar, arşivler ve metin belgelerini içerecek şekilde genişletilmesine yönelik olarak eksfiltrat yapmak için dosyaların listesini genişletir. Program ayrıca, şifreli veriler ve XOR tabanlı gizleme kullanarak saldırganın sunucusundan yeni C2 adresleri ve ek kötü amaçlı yürütülebilir ürünler almasına izin veren gelişmiş iletişim özelliklerini de içerir.
Ek yükler başlatmak için, javav.exe Windows Kayıt Defterinin manipülasyonunu ve computerdefaults.exe Fayda. Bu, son aşama ikili sağlar, windowsmsg.exetriggring güvenlik istemleri olmadan yürütülecek. Son aşama yükü analiz sırasında kullanılamıyor olsa da, Kaspersky daha fazla gözetim veya eksfiltrasyon için modüler bir uzantı görevi gördüğünden şüpheleniyor.