"حملة 'بلاك سانتا' الإلكترونية تختطف سير عمل الموارد البشرية لنشر برمجيات خبيثة متطورة تعطّل أنظمة الحماية"
تم الكشف عن حملة تجسّص إلكتروني بالغة التعقيد، تُنسب إلى جهات تهديد ناطقة بالروسية، تستغل مسار هجوم جديد يتمثل في سير عمل أقسام الموارد البشرية المؤسسية. وتُدعى هذه العملية باسم "بلاك سانتا"، حيث تتسلل إلى المنظمات عبر اختراق عمليات الموارد البشرية لتوصيل حمولة برمجية خبيثة قوية مُصممة خصيصاً لتعطيل حلول كشف الاستجابة للنقاط الطرفية. وبتحييد أدوات الأمان الحرجة هذه، يخلق المهاجمون بيئة خفية تمكنهم من تنفيذ عمليات استخراج البيانات والانتقال الجانبي دون إثارة إنذارات.
تبدأ سلسلة الهجوم بالاختراق الأولي لأقسام الموارد البشرية أو الأنظمة التي تستخدمها. على الأرجح يستخدم جهات التهديد التصيد المستهدف أو يستغلون الثغرات في برمجيات الموارد البشرية لكتساب موطئ قدم. وبعد الدخول، يتلاعبون بسير عمل الموارد البشرية الشرعية – مثل عمليات دمج الموظفين الجدد، أو توفير البرمجيات، أو توزيع تحديثات السياسات – لتوصيل الملفات الخبيثة. يتم تمويه هذه الملفات على أنها وثائق روتينية للموارد البشرية أو مثبتات برمجية ضرورية، مما يزيد من احتمالية قيام الموظفين بتنفيذها دون شك.
الحمولة الأساسية لحملة بلاك سانتا هي برمجية خبيثة متطورة "لتعطيل أنظمة كشف الاستجابة للنقاط الطرفية". صُممت هذه الأداة بمعرفة عميقة بهندسة منتجات الأمان، وتستخدم تقنيات لتعطيل أو تجاوز وكلاء أنظمة الكشف على النقاط الطرفية المصابة بشكل جراحي. قد تشمل الأساليب إنهاء عمليات الأمان، وإلغاء تحميل برامج التشغيل، وحذف أو إتلاف ملفات التكوين، واستغلال أدوات الإدارة الشرعية مثل "بيسيكس" لأغراض ضارة.
مع تعطيل أو إزالة حل الكشف بالكامل، ينشر المهاجمون حمولات ثانوية، مثل برامج سرقة المعلومات أو أبواب خلفية، لجمع البيانات المؤسسية الحساسة من المجالات المالية والبحث والتطوير والاتصالات التنفيذية. الهدف النهائي من هذه الحملة هو سرقة بيانات مستدامة وغير مكتشفة. من خلال اختطاف سير عمل الموارد البشرية، يكتسب المهاجمون آلية توصيل منتشرة وموثوقة.
وبنشر البرمجيات الخبيثة المعطلة لأنظمة الحماية أولاً، يضمنون بقاء أنشطتهم اللاحقة غير مرئية لفرق الأمان. هذا النهج ذو الشقين – إساءة استخدام الثقة وإزالة القدرة على الرؤية – يجعل من "بلاك سانتا" تهديداً هائلاً. يُحثّ المنظمات على تعزيز مراقبة الوصول إلى أنظمة الموارد البشرية، وتنفيذ قوائم السماح للتطبيقات، ومراجعة أذونات الامتياز، وتثقيف فرق الموارد البشرية حول هذه المخاطر المحددة.
