Batavia: Yeni Bir Casus Yazılım Tehditi
Son günlerde, Batavia adında daha önce belgelenmemiş bir casus yazılımın, Rusya’daki büyük sanayi işletmelerini hedef alan bir phishing e-posta kampanyası ile faaliyet gösterdiği ortaya çıkmıştır. Araştırmacılar, bu operasyonun en az bir yıl öncesine, 2022 Temmuz ayına kadar uzandığına ve hâlâ devam ettiğine inanmaktadır. Telemetri verilerine göre, Batavia’yı içeren phishing e-postaları, birçok Rus kuruluşunun çalışanlarına ulaşmıştır.
Phishing E-posta Kampanyasının Artışı
2025 yılı itibarıyla, bu kampanyanın yoğunluğunun arttığı ve Şubat ayının sonlarına doğru zirveye ulaştığı gözlemlenmiştir. Kaspersky’nin raporuna göre, bu tür saldırıların sıklığı ve genişliği, sanayi casusluğu ihtimallerini artırmaktadır.
Batavia Saldırı Zinciri
Kaspersky araştırmalarına göre, Batavia saldırıları bir e-posta ile başlamaktadır. Bu e-posta, sözleşme eki gibi gizlenmiş bir bağlantı içermektedir. Kullanıcı bu bağlantıya tıkladığında, içinde kötü amaçlı bir Visual Basic Encoded script (.VBE) dosyası barındıran bir arşiv indirilir. Bu dosya çalıştırıldığında, işletim sisteminin profil bilgilerini toplar ve bu verileri saldırganın komut ve kontrol sunucusuna (C2) gönderir. Sonrasında, “WebView.exe” isimli bir ikinci aşama yükü, oblast-ru[.]com adresinden indirilir.
Kötü Amaçlı Yazılımın İkinci Aşaması
İkinci aşama, Delphi tabanlı bir kötü amaçlı yazılımdır. Bu yazılım, mağdura sahte bir sözleşme göstererek dikkatini dağıtırken, arka planda sistem günlüklerini, belgeleri toplar ve ekran görüntüleri alır. Toplanan veriler, ru-exchange[.]com adresine sızdırılırken, yazılım her dosyanın ilk 40,000 baytının hash‘ini kullanarak, tekrarlayan yüklemeleri önlemektedir.
Üçüncü Aşama Yükü ve Daha Fazlası
Batavia, üçüncü aşama yükü olan “javav.exe”yi indirdiğinde, bu, bir C++ veri çalıcısıdır ve işletim sisteminin başlangıcında çalıştırmak üzere bir başlangıç kısayolu ekler. Son aşama yükü, veri toplama sürecini daha da genişleterek, ek dosya türlerini (resimler, sunumlar, e-postalar, arşivler, hesap tabloları, TXT’ler ve RTF’ler) hedef alır.
Kaspersky’nin raporunda, muhtemelen bir dördüncü yük olan “windowsmsg.exe”nin varlığına dikkat çekilmektedir. Ancak araştırmacılar, bu aşamaya ait verileri elde edememişlerdir.
Batavia’nın Olası Amacı
Araştırmacılar, Batavia kampanyasının amaçları hakkında spekülasyon yapmamaktadır. Ancak hedefler ve Batavia’nın yetenekleri göz önüne alındığında, bu durumun Rusya’nın endüstriyel faaliyetlerinin casusluğunu hedef alan bir operasyon olabileceğini düşündürmektedir.
Sonuç ve Öneriler
Batavia’nın ortaya çıkışı, sanayi işletmelerinin siber güvenlik tehditleri açısından ne kadar savunmasız hale geldiğini göstermektedir. Tehditlerin daha da karmaşık hale geldiği günümüzde, basit tekniklerin hâlâ başarı sağladığı gözlemlenmektedir. Örgütlerin, güvenlik önlemlerini gözden geçirerek ve çalışanlarını bu tür saldırılara karşı eğiterek, siber tehditler karşısında daha sağlam bir duruş sergilemeleri gerekmektedir.
Ayrıca, çalışanların kötü niyetli yazılımların uyarılarını tanıyabilmesi için düzenli eğitimler verilmesi şarttır. Phishing saldırılarına karşı alınacak önlemler ve güncel tehditler hakkında bilgi sahibi olmak, bir kuruluşa büyük yarar sağlayacaktır. Bu tür saldırıların artışını önlemek için, iş yerlerinde daha güvenli bir dijital çevre oluşturulması kritik bir öneme sahiptir.
