Российские промышленные и научные организации столкнулись с новой серьезной киберугрозой. Специалисты по информационной безопасности зафиксировали активную кампанию неизвестной хакерской группы, которая с июля 2024 года распространяет ранее неизвестный шпионский троян под названием Batavia. Вредоносная программа специально разработана для кражи конфиденциальных корпоративных документов и представляет серьезную угрозу для национальной безопасности.
Масштаб и цели атаки
Целевая аудитория кибератак включает стратегически важные отрасли российской экономики. Вредоносные электронные письма получили сотрудники десятков компаний по всей стране, включая судостроительные верфи, авиационные предприятия, нефтегазовые корпорации и конструкторские бюро. Такой выбор целей указывает на возможную связь атак с промышленным шпионажем.
Первоначально троян был обнаружен в марте 2025 года, когда системы безопасности зафиксировали рост числа детектирований подозрительных файлов с характерными именами на устройствах российских организаций. Последующий анализ выявил уникальную природу этой угрозы.
Технические характеристики трояна Batavia
Batavia представляет собой специализированное шпионское ПО, архитектура которого включает VBA-скрипт и два исполняемых файла. Отличительной особенностью этого трояна является узкоспециализированный фокус на краже документов, что выделяет его среди классических шпионских программ.
Функциональные возможности вредоносной программы включают:
• Сбор системных журналов и информации об установленном программном обеспечении
• Кража электронных писем и офисных документов различных форматов
• Анализ содержимого съемных носителей
• Создание снимков экрана
• Установка дополнительного вредоносного ПО
Механизм заражения и социальная инженерия
Атаки начинаются с тщательно подготовленных фишинговых писем, имитирующих деловую корреспонденцию. Злоумышленники используют предлог подписания договора, прося адресата скачать прикрепленный документ. Вредоносные файлы маскируются под обычные корпоративные документы с именами «договор-2025-5.vbe», «приложение.vbe» или «dogovor.vbe».
На самом деле эти файлы содержат вредоносные ссылки, которые запускают трехэтапный процесс заражения системы. Для отвлечения внимания жертвы одновременно открывается поддельный договор, создавая иллюзию легитимности операции.
Процесс компрометации данных
После успешной установки троян начинает систематический сбор информации, анализируя как локальные файлы, так и данные на подключенных устройствах хранения. Собранная информация затем передается на контролируемые злоумышленниками серверы, что может привести к серьезным утечкам конфиденциальных данных.
Рекомендации по защите от угрозы
Учитывая специфику атак, организациям необходимо усилить меры безопасности электронной почты и повысить осведомленность сотрудников о методах социальной инженерии. Постоянная эволюция тактик злоумышленников требует комплексного подхода к корпоративной кибербезопасности.
Появление трояна Batavia демонстрирует растущую угрозу целенаправленных атак на критически важную инфраструктуру. Своевременное обнаружение и анализ этой угрозы подчеркивает важность непрерывного мониторинга кибербезопасности и необходимость регулярного обновления систем защиты для противодействия новым видам вредоносного ПО.
