Batavia Spyware

2024年7月以降、高度なサイバースパイ活動がロシアの組織を標的として活発に展開されています。この活動の中心となっているのは、これまで文書化されていなかった「Batavia」というスパイウェアで、正当な契約のオファーを装った偽の電子メールを通じて拡散されます。

感染の連鎖：電子メールからスパイ活動まで

攻撃は、攻撃者が管理するドメインoblast-ru.comから送信される、巧妙に細工されたフィッシングメールから始まります。これらのメッセージは、偽の契約署名依頼で受信者を誘い込み、悪意のあるリンクが含まれています。リンクをクリックすると、Visual Basicでエンコードされたスクリプト（.VBEファイル）を含むアーカイブファイルのダウンロードが開始されます。

スクリプトが実行されると、ホストシステムに関する詳細な情報を収集し、リモートサーバーに送信することで偵察活動を行います。これにより、Delphiで記述された実行ファイルであるセカンダリペイロードのダウンロードが開始されます。

Delphiマルウェア：注意散漫とデータ窃盗

Delphiベースのマルウェアは、被害者の関心を引き続けるために偽造契約書を提示すると思われます。同時に、以下のような様々な機密情報をひそかに収集します。

• システムログとインストールされたソフトウェア情報
• Microsoft Office およびその他のドキュメント タイプ (*.doc、*.docx、*.ods、*.odt、*.pdf、*.xls、*.xlsx)
• ホストに接続されたリムーバブルデバイスからのスクリーンショットとデータ

マルウェアの機能はそれだけではありません。コマンドアンドコントロールサーバーから追加のバイナリをダウンロードします。このファイルは、さらに幅広い種類のファイルを抽出して外部に持ち出すように設計されています。

拡張されたファイル収集機能

第 2 段階のバイナリでは、盗まれたデータの範囲が大幅に拡大され、次のものが含まれます。

• 画像およびグラフィックファイル: *.jpeg、*.jpg、*.cdr
• 電子メールおよびテキストベースのコンテンツ: *.eml、*.csv、*.txt、*.rtf
• プレゼンテーションとアーカイブ: *.ppt、*.pptx、*.odp、*.rar、*.zip

収集されたすべての情報は別のドメイン（ru-exchange.com）に流出します。このドメインは、第4段階の実行ファイルの配信ポイントとしても機能します。この未知のコンポーネントは、さらなる悪意のあるアクションによって攻撃チェーンを継続させる可能性があります。

広範囲にわたる影響と収集されたデータ

過去1年間で、数十の組織にまたがる100人以上のユーザーが、これらのフィッシングメッセージの標的となりました。最終的なペイロードは徹底的なデータ収集を目的とし、個人および企業の文書だけでなく、以下の情報も盗み出します。

• インストールされているソフトウェアの完全なインベントリ
• デバイスドライバーに関する情報
• オペレーティング システム コンポーネントの詳細

結論：組織的かつ進化するスパイ活動の脅威

Bataviaスパイウェア攻撃は、ロシアにおける組織セキュリティに対する組織的かつ持続的な脅威を反映しています。多段階の感染チェーンと、幅広いファイルやシステムインテリジェンスを抽出できる能力を併せ持つBataviaは、強力なスパイ活動ツールとして知られています。組織は、このような高度で欺瞞的な攻撃から身を守るために、常に警戒を怠らず、積極的なセキュリティ対策を講じる必要があります。