كشف باحثون في الأمن السيبراني عن حملة تجسسية تستهدف مؤسسات روسية عبر برنامج ضار جديد يُدعى “باتافيا”، مصمم لسرقة المستندات الداخلية. وفقًا لشركة “كاسبرسكي”، فإن الهجمات بدأت في يوليو 2024 وتستمر حتى الآن.
كيفية تنفيذ الهجوم
تبدأ الحملة برسائل تصيد احتيالي تحتوي على روابط خبيثة، مرسلة تحت ذريعة توقيع عقود. تُرسل هذه الرسائل من نطاق “oblast-ru[.]com”، الذي يمتلكه المهاجمون. يؤدي النقر على الرابط إلى تحميل ملف أرشيف يحتوي على سكريبت “فيجوال بيسك” مشفر (.VBE)، والذي يجمع معلومات النظام ويُرسلها إلى خادم بعيد. بعد ذلك، يتم تنزيل حمولة ثانية مكتوبة بلغة “دلفي” لمواصلة الهجوم.
يعرض البرنامج الضار عقدًا مزيفًا كإلهاء بينما يجمع في الخلفية سجلات النظام والمستندات مثل ملفات “وورد” و”إكسل” و”PDF”، بالإضافة إلى لقطات الشاشة. كما يوسع نشاطه ليشمل الأجهزة القابلة للإزالة المتصلة بالجهاز المصاب. يمكن للبرنامج أيضًا تنزيل ملفات إضافية لسرقة نطاق أوسع من الملفات، بما في ذلك الصور ورسائل البريد الإلكتروني والعروض التقديمية والمستندات النصية.
نطاق الهجوم والبيانات المسربة
أظهرت بيانات “كاسبرسكي” أن أكثر من 100 مستخدم في عشرات المؤسسات تلقوا رسائل التصيد خلال العام الماضي. يتم نقل البيانات المسروقة إلى نطاق آخر (“ru-exchange[.]com”)، حيث يتم تنزيل ملف تنفيذي مجهول لمواصلة سلسلة الهجوم.
