一项新的网络攻击正在针对俄罗斯机构，攻击者利用伪装成合同的钓鱼邮件传播Batavia间谍软件。该恶意软件自2024年7月开始活跃，通过诱骗用户点击恶意链接下载.vbe文件，进而窃取内部文件。卡巴斯基的研究报告揭示了该攻击的详细过程，包括VBE脚本的执行、WebView.exe和javav.exe恶意软件的下载与运行，以及数据窃取和持续感染的机制。攻击者定制邮件参数以规避检测，窃取系统信息、文档和屏幕截图，并最终将数据发送到C2服务器。受害者主要为俄罗斯工业企业，此次攻击凸显了加强员工网络安全意识的重要性。

📧 攻击始于钓鱼邮件，邮件主题伪装成合同，诱导用户点击恶意链接。这些链接指向恶意.vbe文件，该文件包含VBA脚本，用于收集系统信息并下载恶意软件。

💻 第二阶段涉及WebView.exe恶意软件，该恶意软件用Delphi编写，在显示虚假合同的同时，开始监视受感染系统。它收集系统日志、办公文档并截取屏幕截图，然后发送到C2服务器。为避免重复上传，会对文件进行哈希处理。

⚙️ 第三阶段，javav.exe恶意软件（用C++编写）扩展了攻击范围，针对多种文件类型，并使用更新的感染ID将其传输到C2服务器。它还可以更改C2地址，并通过computerdefaults.exe实现UAC绕过，下载/执行新有效载荷。

🛡️ 攻击者使用加密通信，并通过文件哈希避免重复上传，增加了攻击的隐蔽性。卡巴斯基的研究表明，此次攻击主要针对俄罗斯工业企业，数十家机构的超过100名用户受到了影响。

HackerNews 编译，转载请注明出处：

自2025年3月起，针对俄罗斯组织的定向钓鱼攻击使用虚假合同主题电子邮件传播Batavia间谍软件，这是一种旨在窃取内部文件的新型恶意软件。该攻击自2024年7月以来持续进行，始于伪装成合同或附件的恶意.vbe文件链接。该恶意软件包含一个VBA脚本和两个可执行文件，卡巴斯基已将其检测为Trojan.Batavia变种。

卡巴斯基发布的报告指出：“自2025年3月初以来，我们的系统记录到俄罗斯各机构员工检测到的类似文件（例如договор-2025-5.vbe、приложение.vbe和dogovor.vbe，中文译注：合同、附件）数量有所增加。定向攻击始于以签订合同为借口发送包含恶意链接的诱饵邮件。”

点击钓鱼邮件中的链接会下载VBE脚本，该脚本收集系统信息并从攻击者的域名检索恶意软件文件(WebView.exe)。该脚本检查操作系统版本以决定如何执行有效载荷，并将数据发送到命令与控制(C2)服务器。攻击使用针对每封电子邮件定制的参数来管理感染阶段并规避检测。

在攻击链的第二阶段，WebView.exe恶意软件（用Delphi编写）下载并显示虚假合同，然后开始监视受感染的系统。它收集系统日志、办公文档，并定期截取屏幕截图发送到新的C2服务器。为避免重复上传，它会对每个文件进行哈希处理。同时下载新的恶意软件阶段(javav.exe)并设置启动快捷方式，以便在系统重启时继续感染过程。

在攻击链的最后阶段，恶意软件javav.exe（用C++编写）扩展攻击范围，针对更多文件类型（如图像、电子邮件、演示文稿、存档），使用更新的感染ID(2hc1-…)将其传输到C2服务器。它现在可以更改C2地址，并通过computerdefaults.exe实现UAC绕过来下载/执行新有效载荷(windowsmsg.exe)。与C2的通信采用加密传输，并通过文件哈希避免重复上传。据卡巴斯基称，此阶段引入灵活性和持久性以促进进一步恶意活动。

研究人员注意到Batavia间谍软件活动的受害者是俄罗斯工业企业。卡巴斯基遥测数据显示，数十家机构的超过100名用户收到了钓鱼邮件。

报告总结道：“值得注意的是，此次攻击的初始感染媒介是诱饵邮件。这凸显了常态化员工培训和提高企业网络安全实践意识的重要性。”

 

 

 

---