خبير أمني يحذر: حملة "بلاك سانتا" المتطورة تستهدف أقسام الموارد البشرية لتجاوز أنظمة الحماية
كشف باحثون أمنيون عن حملة إلكترونية متطورة ومنسقة تنفذها جهة فاعلة ناطقة بالروسية، تستهدف أقسام الموارد البشرية في الشركات منذ أكثر من عام. وتتميز هذه الحملة باستخدام أداة جديدة لتجنب كشف أنظمة المراقبة والاستجابة للنقاط الطرفية، أطلق عليها اسم "بلاك سانتا". وتهدف العملية إلى سرقة البيانات الحساسة من خلال مزيج متقدم من الهندسة الاجتماعية والتقنيات التخفي.
ويرجح الباحثون في شركة "أرياكا" للأمن السيبراني أن الهجوم يبدأ عبر رسائل تصيد احتيالي مصممة بدقة عالية. حيث يتم خداع موظفي الموارد البشرية وتوجيههم لتحميل ملفات صورة ISO، مُتنكرة في شكل سير ذاتية لوظائف، ومستضافة على منصات تخزين سحابية شرعية مثل "دروب بوكس" لتفادي مرشحات أمان البريد الإلكتروني.
وعند التنفيذ، يكشف سلسلة الهجوم عن منهجية متعددة الطبقات لتجنب الاكتشاف. يحتوي ملف ISO الخبيث النموذجي على أربعة مكونات: اختصار ويندوز متنكراً كمستند PDF، ونص برمجي من "باورشل"، وملف صورة، وملف أيقونة. يقوم الاختصار المخادع بتشغيل النص البرمجي الذي يستخرج بدوره شفرة خبيثة مخبأة داخل ملف الصورة باستخدام تقنية إخفاء المعلومات.
تُنفَّذ الحمولة الناتجة مباشرة في ذاكرة النظام، وهي تقنية لا تترك سوى آثار جنائية ضئيلة على القرص. ثم يقوم النص البرمجي بتحميل أرشيف ZIP يحتوي على نسخة شرعية وموقعة من قارئ "سوماترا بي دي إف" إلى جانب مكتبة DLL خبيثة تحمل اسم `DWrite.dll`.
تستغل المرحلة الأخيرة تقنية تعرف باسم التحميل الجانبي للمكتبات، حيث يتم استخدام القارئ الشرعي لتحميل المكتبة الخبيثة، مما يتجاوز حلول التحكم في التطبيقات وأنظمة المراقبة التي تثق بالبرنامج الموقع. بعد التنشيط، تقوم حمولة "بلاك سانتا" بجمع بصمة النظام الشاملة وإرسال البيانات إلى خادم تحكم عن بعد.
وقبل المتابعة في مهامها الضارة، تجري البرمجية الخبيثة فحوصات بيئية موسعة للكشف عن أدوات التحليل الأمني مثل الصناديق الرملية والآلات الافتراضية وبرامج التصحيح. وإذا تم اكتشاف أي من هذه المؤشرات، تتوقف البرمجية عن التنفيذ لتجنب الكشف والتحليل، مما يظهر درجة عالية من الوعي الأمني التشغيلي لدى منفذي الهجوم.
