Vén màn phần mềm gián điệp Batavia: Đánh cắp dữ liệu các tổ chức tại Nga bằng email độc hại

Kể từ đầu tháng 3/2025, Kaspersky đã ghi nhận sự gia tăng phát hiện các tệp tương tự có tên như договор-2025-5[.]vbe, приложение[.]vbe và dogovor[.]vbe (tạm dịch: hợp đồng, tệp đính kèm) giữa các nhân viên tại nhiều tổ chức ở Nga. Cuộc tấn công có chủ đích bắt đầu bằng các email mồi nhử chứa liên kết độc hại với nội dung về ký kết hợp đồng. Mục tiêu chính của cuộc tấn công là lây nhiễm phần mềm gián điệp Batavia, bao gồm một script VBS và hai tệp thực thi. Để làm sáng tỏ điều này, bài viết tập trung phân tích cách thức hoạt động và lây nhiễm của phần mềm gián điệp tinh vi này, dựa trên báo cáo của Kaspersky.

Giai đoạn đầu tiên: Script VBS

Các nhà nghiên cứu đã xem xét một trong những email mà người dùng nhận được vào tháng 02/2025. Theo phân tích, chủ đề của những email này hầu như không thay đổi kể từ khi bắt đầu chiến dịch (từ tháng 7/2024 đến nay).

Hình 1. Ví dụ về email có liên kết độc hại

Nội dung của email này yêu cầu người dùng tải xuống một tệp hợp đồng được cho là có đính kèm trong mail. Tuy nhiên, tệp đính kèm thực chất là một liên kết độc hại: https://oblast-ru[.]com/oblast_download/?file=hc1-[redacted].

Đáng chú ý, địa chỉ các email gửi đến đều cùng một tên miền oblast-ru[.]com, thuộc sở hữu của kẻ tấn công. Các nhà nghiên cứu cũng nhận thấy rằng đối số file=hc1-[redacted] là duy nhất cho mỗi email và sử dụng trong các giai đoạn lây nhiễm tiếp theo.

Khi nhấp vào liên kết, một kho lưu trữ sẽ tải xuống thiết bị của người dùng, chỉ chứa một script sau: Договор-2025-2[.]vbe được mã hóa bằng thuật toán của Microsoft (MD5: 2963FB4980127ADB7E045A0F743EAD05).

Hình 2. Đoạn mã độc hại sau khi giải mã

Script này là một trình tải xuống, trích xuất một chuỗi 12 tham số được thiết kế đặc biệt, phân tách bằng dấu phẩy từ URL mã hóa cứng https://oblast-ru[.]com/oblast_download/?file=hc1-[redacted]&vput2. Các tham số này là đối số cho nhiều hàm độc hại khác nhau. Ví dụ, script xác định phiên bản hệ điều hành của thiết bị bị nhiễm và gửi đến máy chủ điều khiển và ra lệnh (C2) của kẻ tấn công.

Bằng cách truy cập địa chỉ https://oblast-ru[.]com/oblast_download/?file=hc1-[redacted]&dd=d, script sẽ tải xuống tệp WebView.exe(MD5: 5CFA142D1B912F31C9F761DDEFB3C288) và lưu vào thư mục %TEMP%, sau đó thực thi tệp. Nếu không thể lấy được phiên bản hệ điều hành, trình tải xuống sẽ sử dụng phương thức Navigate(); nếu không, nó sẽ sử dụng Run().

Giai đoạn lây nhiễm thứ hai: WebView

WebView[.]exe là một tệp thực thi được viết bằng Delphi, có kích thước 3.235.328 byte. Khi được khởi chạy, phần mềm độc hại tải xuống nội dung từ liên kết https://oblast-ru[.]com/oblast_download/?file=1hc1-[redacted]&view và lưu vào thư mục C:\Users[username]\AppData\Local\Temp\WebView, sau đó hiển thị nội dung đã tải xuống trong cửa sổ của nó. Tại thời điểm phân tích, liên kết này đã không còn hoạt động, nhưng Kaspersky cho rằng ban đầu nó lưu trữ hợp đồng giả mạo được đề cập trong email độc hại.

Cùng lúc hiển thị cửa sổ, phần mềm độc hại bắt đầu đánh cắp thông tin từ máy tính bị nhiễm và gửi đến một địa chỉ có tên miền khác, nhưng cùng ID lây nhiễm: https://ru-exchange[.]com/mexchange/?file=1hc1-[redacted]. Điểm khác biệt duy nhất so với ID được sử dụng trong tập lệnh VBS là việc thêm chữ số 1 vào đầu đối số, có thể chỉ ra giai đoạn lây nhiễm tiếp theo.

Phần mềm độc hại thu thập nhiều loại tệp, bao gồm log hệ thống và tài liệu office được tìm thấy trên máy tính và thiết bị lưu trữ di động. Ngoài ra, mô-đun độc hại còn định kỳ chụp ảnh màn hình, sau đó gửi đến máy chủ C2.

Để tránh việc gửi đi cùng một tệp nhiều lần, phần mềm độc hại tạo một tệp có tên “h12” trong thư mục %TEMP% và một hàm băm FNV-1a_32 của 40.000 byte đầu tiên trong mỗi tệp được tải lên. Nếu hàm băm của bất kỳ tệp nào sau đó khớp với giá trị trong h12, tệp đó sẽ không được gửi lại.

Ngoài ra, WebView[.]exe còn tải xuống tệp thực thi giai đoạn tiếp theo từ https://oblast-ru[.]com/oblast_download/?file=1hc1-[redacted]&de và lưu vào %PROGRAMDATA%\jre_22.3\javav[.]exe. Để thực thi tệp này, phần mềm độc hại tạo một tệp shortcut trong thư mục khởi động hệ thống: %APPDATA%\Microsoft\Windows\Start Menu\Programs\StartUp\Jre22[.]3[.]lnk. Tệp này được kích hoạt khi thiết bị khởi động lại lần đầu tiên sau khi bị lây nhiễm, bắt đầu giai đoạn hoạt động độc hại tiếp theo.

Giai đoạn thứ ba: javav

Tệp thực thi javav[.]exe (MD5: 03B728A6F6AAB25A65F189857580E0BD) được biên dịch bằng C++, không giống như WebView[.]exe. Khả năng gây hại của hai tệp này phần lớn là tương tự nhau. Tuy nhiên, javav[.]exe lại bao gồm một số chức năng mới. Ví dụ, javav[.]exe cũng có khả năng thu thập các tệp như WebView[.]exe, nhưng danh sách phần mở rộng tệp được mở rộng để bao gồm các định dạng sau: jpeg, jpg, cdr, csv, eml, ppt, pptx, odp, rar, zip, rtf, txt.

Tương tự như phiên bản trước, mô-đun giai đoạn ba so sánh tổng hàm băm của các tệp thu thập được. Dữ liệu mới sẽ được gửi đến địac chỉ https://ru-exchange[.]com/mexchange/?file=2hc1-[redacted]. Lưu ý rằng ở giai đoạn này, chữ số 2 đã được thêm vào ID lây nhiễm.

Ngoài ra, có hai lệnh mới xuất hiện trong code của phần mềm độc hại, đó là giá trị “set” thay đổi máy chủ C2 và “exa/exb” để tải xuống và thực thi các tệp bổ sung.

Trong một luồng riêng biệt, phần mềm độc hại thường xuyên gửi yêu cầu đến https://ru-exchange[.]com/mexchange/?set&file=2hc1-[redacted]&data=[xxxx], trong đó [xxxx] là một chuỗi 4 ký tự được tạo ngẫu nhiên. Đáp lại, javav[.]exe nhận một địa chỉ C2 mới, mã hóa bằng khóa XOR 232 byte và lưu vào một tệp có tên settrn[.]txt.

Trong một luồng khác, phần mềm độc hại định kỳ kết nối đến https://ru-exchange[.]com/mexchange/?exa&file=2hc1-[redacted]&data=[xxxx] (trong đó [xxxx] cũng là một chuỗi bốn ký tự ngẫu nhiên). Máy chủ phản hồi bằng một tệp thực thi nhị phân, được mã hóa bằng khóa 7A XOR một byte. Sau khi giải mã, tệp được lưu dưới dạng %TEMP%\windowsmsg[.]exe. Ngoài ra, javav[.]exe còn gửi yêu cầu đến https://ru-exchange[.]com/mexchange/?exb&file=2hc1-[redacted]&data=[xxxx], gửi một đối số dòng lệnh để truyền đến windowsmsg[.]exe.

Để khởi chạy windowsmsg[.]exe, phần mềm độc hại sử dụng kỹ thuật bypass UAC liên quan đến tiện ích Windows tích hợp computerdefaults[.]exe, cùng với việc sửa đổi hai khóa registry bằng tiện ích reg[.]exe.

Tại thời điểm phân tích, việc tải xuống windowsmsg[.]exe từ máy chủ C2 không còn khả thi. Tuy nhiên, các nhà nghiên cứu giả định rằng tệp này đóng vai trò là payload cho giai đoạn tiếp theo, rất có thể chứa thêm chức năng độc hại.

Nạn nhân

Nạn nhân của chiến dịch phần mềm gián điệp Batavia là các doanh nghiệp công nghiệp tại Nga. Theo thống kê của Kaspersky, đã có hơn 100 người dùng thuộc hàng chục tổ chức đã nhận được email mồi nhử độc hại.

Hình 3. Số trường hợp lây nhiễm qua các tập lệnh VBS (từ tháng 8/2024 đến tháng 6/2025)

Kết luận

Batavia là một phần mềm gián điệp mới xuất hiện vào tháng 7/2024, nhắm mục tiêu vào các tổ chức tại Nga, nó lây lan qua email độc hại, bằng cách nhấp vào một liên kết được ngụy trang dưới dạng tài liệu chính thức, người dùng không hề hay biết sẽ tải xuống một tập lệnh khởi tạo quy trình lây nhiễm ba giai đoạn trên thiết bị của họ. Sau cuộc tấn công, Batavia sẽ đánh cắp tệp tài liệu của nạn nhân, cũng như thông tin như danh sách các chương trình đã cài đặt, trình điều khiển và các thành phần hệ điều hành.

Để tránh trở thành nạn nhân của các cuộc tấn công như vậy, các tổ chức phải áp dụng phương pháp tiếp cận toàn diện để bảo vệ cơ sở hạ tầng, sử dụng các giải pháp bảo mật tổng thể. Cũng cần lưu ý rằng phương thức lây nhiễm ban đầu trong chiến dịch này là email mồi nhử. Điều này nhấn mạnh tầm quan trọng của việc đào tạo cán bộ, nhân viên thường xuyên và nâng cao nhận thức về các biện pháp an ninh mạng của doanh nghiệp.