С виду — договор, по факту — многоступенчатый троян. Batavia заражает промышленность России

С июля 2024 года в России продолжается масштабная целевая кампания с использованием ранее неизвестного шпионского ПО Batavia. По данны м «Лаборатории Касперского», атаки направлены на промышленные и научные организации. Рассылка вредоносных писем с темой подписания договоров привела к заражению как минимум сотни устройств в десятках компаний.

Первый этап заражения начинается с письма, в котором содержится ссылка на якобы служебный документ. Перейдя по ней, пользователь скачивает архив с VBS-скриптом, замаскированным под файл договора. Скрипт, зашифрованный проприетарным алгоритмом Microsoft, служит загрузчиком и запрашивает с сервера 12 параметров для последующего выполнения. В зависимости от версии Windows используется либо метод Run(), либо обходной метод Navigate() для запуска вредоносного компонента WebView.exe.

Второй этап реализует полноценную функциональность трояна. WebView.exe — исполняемый файл на Delphi, который отображает поддельный договор, собирает системные журналы и документы, делает скриншоты и отправляет всё это на другой командный сервер. Чтобы не передавать одни и те же файлы повторно, шпион вычисляет FNV-1a_32-хэши первых 40 000 байт каждого документа и сверяет их с сохранённым списком.

Дополнительно WebView.exe загружает новый модуль javav.exe и помещает его в автозагрузку. Этот компонент на C++ расширяет набор целей, включая изображения, презентации, электронные письма и архивы. Он отправляет данные на тот же сервер, но уже с изменённым идентификатором, указывающим на этап заражения.

Кроме сбора данных, третий этап позволяет менять командный центр и загружать дополнительные вредоносные модули. Для запуска следующей полезной нагрузки используется техника обхода контроля учётных записей Windows (UAC) через утилиту computerdefaults.exe. Один из потенциальных файлов, windowsmsg.exe, на момент исследования уже не загружался, но предположительно он содержал вредоносные функции последующего уровня.

Batavia отличается модульной архитектурой, уникальными идентификаторами заражения на каждом этапе и гибким механизмом доставки полезных нагрузок. Основные домены управления — oblast-ru[.]com и ru-exchange[.]com. Вредоносные файлы имеют хэши:

• 2963FB4980127ADB7E045A0F743EAD05 (договор-2025-2.vbe),
• 5CFA142D1B912F31C9F761DDEFB3C288 (webview.exe),
• 03B728A6F6AAB25A65F189857580E0BD (javav.exe).

Расследование показало, что рассылка всё ещё продолжается. Тематика писем практически не изменилась с начала кампании, а аргументы в ссылках уникальны для каждого адресата, что усложняет отслеживание масштабов атаки.

По данным «Лаборатории Касперского», вредоносные письма получили свыше 100 сотрудников из разных российских компаний. Основной целью кампании является кража внутренних документов и мониторинг активности пользователей.

Специалисты подчеркивают необходимость регулярного обучения сотрудников для повышения устойчивости к фишингу. Помимо этого, рекомендуется использовать решения с функциями анализа угроз и автоматическим реагированием. Batavia стал примером того, как простая фишинговая рассылка может запустить многоступенчатую атаку с глубокой интеграцией в корпоративную инфраструктуру.