BlackSanta kampány
Az Aryaka Threat Research a BlackSanta malware-kampányt mutatja be, amely elsősorban HR- és toborzási folyamatokat célzó pszichológia megtévesztési támadásokon keresztül kompromittál vállalati rendszereket. A művelet legalább egy éve aktív, és a kutatók szerint orosz nyelvi háttérrel rendelkező fenyegetési szereplők állhatnak mögötte.
A támadási lánc általában állásjelentkezésnek álcázott fájlokkal kezdődik. A célpont, jellemzően HR-munkatárs vagy toborzó, egy linket kap, amely egy felhőszolgáltatáson tárolt ISO fájlra mutat. Az ISO fájl egy látszólag legitim önéletrajzot tartalmaz, azonban a PDF valójában egy rejtett .LNK shortcut, amely obfuszkált parancsokat futtat, és elindít egy PowerShell-alapú fertőzési láncot.
A PowerShell script egy képfájlba rejtett kódot bont ki, majd memóriában futtat egy további scriptet. Ez letölti egy valós alkalmazás csomagját, amelyet DLL-side-loading technikával manipulálnak, a program egy rosszindulatú DWrite.dll fájlt tölt be, amely elindítja a malware további komponenseit. Ez a módszer lehetővé teszi, hogy a kód megbízható szoftvernek álcázva fusson.
A kampány kulcseleme a BlackSanta nevű modul, amely egy kifejezetten EDR- és antivírus-védelmek kiiktatására tervezett komponens. A malware a Bring-Your-Own-Vulnerable-Driver (BYOVD) technikát alkalmazza, valós, de sérülékeny kernel-driver fájlokat tölt be, amelyek segítségével kernel-szinten manipulálhatja a rendszerfolyamatokat és leállíthatja a biztonsági szoftvereket.
A BlackSanta több védelmi megkerülési technikát is alkalmaz. A malware enumerálja a futó folyamatokat, és egy hardcoded listával összevetve azonosítja az antivírus, EDR, SIEM vagy forensic eszközöket, majd kernel-szinten leállítja ezeket. Emellett módosítja a Windows Defender beállításait, csökkenti a telemetriai adatküldést, és elnyomhatja a Windows figyelmeztetéseit is, hogy minimalizálja a felhasználó számára látható jeleket.
Miután a védelem kiiktatásra került, a fertőzés további fázisai rendszerfelderítést, hitelesítési adatok gyűjtését és adat-exfiltrációt hajthatnak végre. A malware először ellenőrzi, hogy sandbox vagy virtuális környezetben fut-e, és csak akkor folytatja a működést, ha valódi célrendszert észlel. Ez a viselkedés jelentősen megnehezíti a kutatók számára a teljes payload elemzését.
A támadók tudatosan a vállalatok toborzási folyamatait használják támadási felületként. A HR-csapatok gyakran külső forrásból származó dokumentumokat nyitnak meg, miközben ezek a rendszerek sokszor kevésbé szigorú biztonsági kontroll alatt állnak, mint a pénzügyi vagy IT-rendszerek. Emiatt a toborzási workflow egyre gyakrabban válik kezdeti hozzáférési ponttá vállalati behatolásoknál.
