З липня 2024 року спеціалісти з кібербезпеки фіксують активну кампанію невідомої хакерської групи, яка використовує раніше невідомий шпіонський троян Batavia для атак на російські промислові та наукові організації. Цей вредоносний інструмент спеціально розроблений для крадіжки конфіденційних корпоративних документів і становить серйозну загрозу для стратегічно важливих підприємств.
Цільова аудиторія та масштаби атак
Кіберзлочинці сфокусували свою увагу на критично важливих секторах російської економіки. Вредоносні електронні листи отримали співробітники десятків компаній, включаючи судостроительні верфи, авіаційні підприємства, нефтогазові корпорації та конструкторські бюро. Такий вибір цілей чітко вказує на зв’язок атак з промисловим шпіонажем.
Перше виявлення трояна відбулося в березні 2025 року, коли системи безпеки зафіксували аномальне зростання кількості підозрілих файлів з характерними іменами на пристроях російських організацій. Подальший технічний аналіз підтвердив унікальну природу цієї загрози.
Технічна архітектура та функціональність Batavia
Троян Batavia являє собою спеціалізоване шпіонське програмне забезпечення з архітектурою, що включає VBA-скрипт та два виконуваних файли. Головною відмінністю цього трояна є вузькоспеціалізований фокус на краже документів, що виділяє його серед класичних шпіонських програм.
Функціональні можливості вредоносної програми охоплюють:
• Збір системних журналів та інформації про встановлене програмне забезпечення
• Крадіжка електронних листів та офісних документів різних форматів
• Аналіз вмісту знімних носіїв
• Створення знімків екрана
• Встановлення додаткового вредоносного ПО
Механізм зараження через соціальну інженерію
Атаки розпочинаються з ретельно підготовлених фішингових листів, що імітують ділову кореспонденцію. Зловмисники використовують привід підписання договору, просячи адресата завантажити прикріплений документ. Вредоносні файли маскуються під звичайні корпоративні документи з іменами “договор-2025-5.vbe”, “приложение.vbe” або “dogovor.vbe”.
Насправді ці файли містять вредоносні посилання, які запускають трьохетапний процес зараження системи. Для відволікання уваги жертви одночасно відкривається підроблений договір, створюючи ілюзію легітимності операції.
Процес компрометації даних
Після успішного встановлення троян починає систематичний збір інформації, аналізуючи як локальні файли, так і дані на підключених пристроях зберігання. Зібрана інформація передається на контрольовані зловмисниками сервери, що може призвести до серйозних витоків конфіденційних даних.
Рекомендації щодо захисту від загрози
Враховуючи специфіку атак, організаціям необхідно посилити заходи безпеки електронної пошти та підвищити обізнаність співробітників про методи соціальної інженерії. Постійна еволюція тактик зловмисників вимагає комплексного підходу до корпоративної кібербезпеки.
Поява трояна Batavia демонструє зростаючу загрозу цілеспрямованих атак на критично важливу інфраструктуру. Своєчасне виявлення та аналіз цієї загрози підкреслює важливість безперервного моніторингу кібербезпеки та необхідність регулярного оновлення систем захисту для протидії новим видам вредоносного програмного забезпечення.