Batavia, một loại phần mềm gián điệp (spyware) chưa xác định danh tính, đã và đang sử dụng một chiến dịch lừa đảo tinh vi nhắm mục tiêu vào các tổ chức công nghiệp tại Nga kể từ tháng 7 năm 2024. Các nhà nghiên cứu của Kaspersky đã ghi nhận sự gia tăng đột biến về số lượng phát hiện kể từ đầu tháng 3 năm 2025, với hơn 100 người dùng tại hàng chục tổ chức đã trở thành nạn nhân của các email mồi nhử được ngụy trang dưới dạng hợp đồng.
Tổng quan về Chiến dịch Batavia
Chiến dịch Batavia được đặc trưng bởi việc sử dụng kỹ thuật lừa đảo (phishing) phức tạp nhằm xâm nhập vào hệ thống của các tổ chức mục tiêu. Các email độc hại thường chứa các tệp đính kèm với tên như договор-2025-5.vbe hoặc приложение.vbe (có nghĩa là “hợp đồng” hoặc “tệp đính kèm”), lừa nhân viên tải xuống các script độc hại. Mục tiêu cuối cùng của Batavia là đánh cắp các tài liệu nội bộ nhạy cảm và dữ liệu hệ thống, gây ra mối đe dọa đáng kể đến an ninh của tổ chức.
Bối cảnh và Mục tiêu
Sự gia tăng đáng kể trong các vụ phát hiện Batavia kể từ đầu năm 2025 cho thấy mức độ hoạt động và khả năng thích nghi của phần mềm gián điệp này. Chiến dịch được thiết kế để thực hiện một quy trình lây nhiễm đa giai đoạn, tối đa hóa khả năng trốn tránh phát hiện và duy trì quyền truy cập vào hệ thống nạn nhân. Dữ liệu bị đánh cắp bao gồm thông tin quan trọng về hoạt động nội bộ và cấu hình hệ thống, có thể được sử dụng cho các mục đích gián điệp hoặc các cuộc tấn công tiếp theo.
Kỹ thuật Tấn công và Chuỗi Lây nhiễm
Cuộc tấn công bắt đầu bằng các email lừa đảo (phishing emails) được thiết kế để đánh lừa người nhận nhấp vào các liên kết độc hại được lưu trữ trên các tên miền do kẻ tấn công kiểm soát. Chuỗi lây nhiễm được chia thành ba giai đoạn chính, mỗi giai đoạn đảm nhận một vai trò cụ thể trong việc thiết lập và mở rộng sự hiện diện của kẻ tấn công trong hệ thống nạn nhân.
Giai đoạn 1: Phishing và VBS Downloader
Khi người dùng nhấp vào liên kết độc hại, họ sẽ tải xuống một script VBS (Visual Basic Script) được mã hóa, chẳng hạn như Договор-2025-2.vbe. Script này đóng vai trò là một thành phần tải xuống (downloader) ban đầu. Sau khi thực thi, script sẽ truy xuất một bộ 12 tham số được phân tách bằng dấu phẩy từ một URL được mã hóa cứng. Các tham số này xác định các chức năng độc hại mà script sẽ thực hiện.
Một trong những chức năng chính của script VBS giai đoạn đầu là xác định phiên bản hệ điều hành của máy nạn nhân và thiết lập kênh liên lạc với máy chủ điều khiển và kiểm soát (C2) của kẻ tấn công. Nếu hệ điều hành của nạn nhân khớp với các yêu cầu của kẻ tấn công (ví dụ: Windows 11), script sẽ tiến hành tải xuống tải trọng tiếp theo, đánh dấu sự chuyển đổi sang giai đoạn thứ hai của cuộc tấn công.
Giai đoạn 2: Khai thác dữ liệu với WebView.exe
Tải trọng thứ cấp được tải xuống là tệp thực thi WebView.exe. Đây là một chương trình được viết bằng Delphi. Malware giai đoạn hai này được thiết kế để hiển thị một hợp đồng giả mạo trên màn hình của nạn nhân, nhằm duy trì vỏ bọc lừa đảo và khiến nạn nhân tin rằng họ đang tương tác với một tài liệu hợp pháp. Trong khi đó, WebView.exe hoạt động âm thầm ở chế độ nền để thu thập dữ liệu nhạy cảm từ hệ thống.
Dữ liệu được thu thập ở giai đoạn này bao gồm nhật ký hệ thống, tài liệu văn phòng (như tài liệu Word, bảng tính Excel, bản trình bày PowerPoint) và ảnh chụp màn hình của hoạt động người dùng. Sau khi thu thập, dữ liệu này sẽ được gửi đến một tên miền C2 khác là ru-exchange[.]com, được sử dụng riêng cho mục đích xuất dữ liệu.
Giai đoạn 3: Mở rộng phạm vi với javav.exe
Quá trình lây nhiễm leo thang đến giai đoạn thứ ba với việc triển khai tệp thực thi javav.exe. Chương trình này được phát triển bằng C++ và mở rộng đáng kể phạm vi đánh cắp dữ liệu so với các giai đoạn trước. javav.exe không chỉ tiếp tục thu thập các loại dữ liệu cơ bản mà còn nhắm mục tiêu đến các loại tệp bổ sung như hình ảnh, email và các kho lưu trữ (ví dụ: tệp ZIP, RAR).
Hơn nữa, javav.exe giới thiệu các khả năng mới, bao gồm khả năng thay đổi động các máy chủ C2, giúp kẻ tấn công duy trì liên lạc ngay cả khi một số máy chủ bị phát hiện và chặn. Nó cũng có thể thực thi các tải trọng bổ sung thông qua một kỹ thuật qua mặt UAC (User Account Control), cho phép phần mềm gián điệp đạt được các đặc quyền cao hơn và củng cố vững chắc quyền kiểm soát của kẻ tấn công trong hệ thống của nạn nhân.
Đặc điểm Kỹ thuật và Cơ chế Né tránh
Điều khiến Batavia trở nên đặc biệt nguy hiểm là bản chất tiến hóa và các cơ chế duy trì sự dai dẳng của nó. Phần mềm gián điệp này liên tục được cập nhật và điều chỉnh để đối phó với các biện pháp phòng thủ.
Cơ chế Persistency và Tăng đặc quyền
Để đảm bảo sự tồn tại trong hệ thống sau khi khởi động lại, Batavia sử dụng các chiến thuật dai dẳng. Điều này bao gồm việc sửa đổi các khóa registry để thực hiện leo thang đặc quyền, cho phép nó chạy với quyền cao hơn. Ngoài ra, nó còn tạo các lối tắt trong thư mục khởi động (startup folder) để đảm bảo rằng phần mềm gián điệp sẽ tự động thực thi mỗi khi hệ thống khởi động lại, duy trì sự hiện diện liên tục của kẻ tấn công.
Phương pháp Tránh phát hiện và Tối ưu hóa dữ liệu
Batavia sử dụng các ID lây nhiễm duy nhất ở mỗi giai đoạn, thường là bằng cách thêm các chữ số vào ID để theo dõi tiến trình của cuộc tấn công trong hệ thống nạn nhân. Điều này giúp kẻ tấn công quản lý và hiểu rõ hơn về từng trường hợp lây nhiễm. Để tránh bị phát hiện và tối ưu hóa việc xuất dữ liệu, phần mềm gián điệp này áp dụng các kỹ thuật mã hóa và băm (hashing), ngăn chặn việc xuất dữ liệu trùng lặp và làm cho việc phân tích lưu lượng mạng trở nên khó khăn hơn. Kaspersky đã phát hiện các thành phần của phần mềm độc hại này dưới các chữ ký như HEUR:Trojan.VBS.Batavia.gen và HEUR:Trojan-Spy.Win32.Batavia.gen, nhấn mạnh thiết kế phức tạp và khả năng trốn tránh phát hiện của nó.
Chỉ báo Thỏa hiệp (IoCs)
Để giúp các tổ chức phát hiện và ứng phó với các cuộc tấn công của Batavia, dưới đây là các chỉ báo thỏa hiệp (IoCs) đã được xác định:
- Tên tệp độc hại:
- договор-2025-5.vbe
- приложение.vbe
- Договор-2025-2.vbe
- WebView.exe
- javav.exe
- Tên miền kiểm soát và điều khiển (C2):
- oblast-ru[.]com
- ru-exchange[.]com
- Chữ ký phát hiện của Kaspersky:
- HEUR:Trojan.VBS.Batavia.gen
- HEUR:Trojan-Spy.Win32.Batavia.gen
Biện pháp Phòng ngừa và Ứng phó
Do chiến dịch vẫn đang diễn ra vào giữa năm 2025 và khả năng spyware có thể tải xuống các tải trọng bổ sung (mà chi tiết cụ thể vẫn đang được điều tra), các tổ chức cần áp dụng chiến lược phòng thủ đa lớp để chống lại các mối đe dọa như Batavia. Các biện pháp phòng ngừa và ứng phó hiệu quả bao gồm:
- Triển khai Giải pháp Bảo mật Toàn diện: Sử dụng các giải pháp XDR (Extended Detection and Response) như Kaspersky Next XDR Expert có thể cung cấp khả năng săn tìm mối đe dọa (threat hunting) mạnh mẽ và phản ứng sự cố (incident response).
- Đào tạo Nhận thức Bảo mật cho Nhân viên: Các nền tảng như Kaspersky Automated Security Awareness Platform đóng vai trò quan trọng trong việc giảm khả năng bị ảnh hưởng bởi các cuộc tấn công lừa đảo (phishing). Việc nâng cao nhận thức giúp nhân viên nhận diện và tránh các email, liên kết, và tệp đính kèm độc hại.
- Kiểm toán An ninh Định kỳ: Thực hiện kiểm toán bảo mật thường xuyên để xác định các lỗ hổng và điểm yếu trong hệ thống.
- Cập nhật Bảo vệ Điểm cuối (Endpoint Protection): Đảm bảo rằng tất cả các giải pháp bảo vệ điểm cuối (như phần mềm chống virus/malware) luôn được cập nhật với các chữ ký và cơ chế phát hiện mới nhất để phát hiện và giảm thiểu sớm các cuộc tấn công đa giai đoạn như Batavia.
