Изощренная кампания «BlackSanta» с инструментом для нейтрализации EDR атакует HR-департаменты
В течение более года русскоязычная группа угрозы высокой сложности ведет целенаправленную кампанию против отделов кадров, используя новый инструмент для обхода систем EDR под названием «BlackSanta». Эта операция, отличающаяся продвинутым сочетанием социальной инженерии и технической скрытности, нацелена на хищение конфиденциальных данных из корпоративных систем. Исследователи кибербезопасности из компании Aryaka полагают, что атака начинается с высококачественных целевых фишинговых писем.
Злоумышленники заманивают HR-специалистов, предлагая загрузить ISO-образы, замаскированные под резюме соискателей. Эти файлы размещаются на легитимных облачных платформах, таких как Dropbox, чтобы обойти почтовые фильтры. При исполнении раскрывается многослойный и скрытный подход.
Типичный вредоносный ISO-файл содержит несколько компонентов: ярлык Windows, маскирующийся под PDF-документ, PowerShell-скрипт, файл изображения и иконку. Обманчивый ярлык запускает скрипт, который извлекает скрытый вредоносный код из изображения с помощью стеганографии.
Этот код выполняется непосредственно в оперативной памяти, что оставляет минимум следов на диске. Затем скрипт загружает ZIP-архив, содержащий легитимную подписанную версию SumatraPDF вместе с вредоносной библиотекой DWrite.dll.
Финальная стадия использует технику DLL sideloading: легитимный исполняемый файл SumatraPDF загружает вредоносную библиотеку, обходя средства контроля приложений и EDR-решения. Полезная нагрузка BlackSanta проводит детальное сканирование системы и отправляет данные на удаленный сервер управления.
Перед выполнением основных функций вредоносная программа тщательно проверяет окружение на наличие средств анализа, таких как песочницы, виртуальные машины и отладчики. При обнаружении таких индикаторов выполнение прекращается, что демонстрирует высокую операционную безопасность злоумышленников.
