Кампания «BlackSanta» взламывает HR-процессы для внедрения скрытого вредоносного ПО, убивающего EDR
В цифровом пространстве обнаружена высокотехнологичная кампания кибершпионажа, приписываемая русскоязычным угрозам. Операция «BlackSanta» использует принципиально новый вектор атаки — корпоративные рабочие процессы отделов кадров. Её цель — внедрение мощного вредоносного кода, специально созданного для отключения решений класса Endpoint Detection and Response (EDR). Обезвредив эти критически важные инструменты безопасности, злоумышленники создают невидимую среду для вывода данных и перемещения по сети без срабатывания сигнализаций.
Цепочка атаки начинается с компрометации HR-отделов или используемых ими систем. Вероятно, для получения первоначального доступа используются целевой фишинг или уязвимости в кадровом программном обеспечении. Внедрившись, злоумышленники манипулируют легитимными процессами, такими как онбординг новых сотрудников или рассылка обновлений политик, для доставки вредоносных файлов. Эти файлы маскируются под обычные HR-документы или установщики необходимого ПО, что повышает шансы на их бездумное исполнение сотрудниками.
Основная нагрузка кампании — это сложное вредоносное ПО, «убийца EDR». Инструмент создан с глубоким пониманием архитектуры продуктов безопасности и использует методы для хирургического отключения или обхода EDR-агентов на заражённых устройствах. Среди методов — завершение процессов, выгрузка драйверов, порча конфигурационных файлов и использование легитимных утилит вроде PsExec. После ослепления системы защиты злоумышленники развёртывают второстепенные модули, такие как бэкдоры, для сбора конфиденциальной корпоративной информации.
Конечная цель — продолжительное и незаметное хищение данных. Взламывая HR-процессы, атакующие получают повсеместный и доверенный канал доставки. Предварительное обезвреживание EDR гарантирует невидимость их последующих действий. Этот двойной подход — злоупотребление доверием и устранение видимости — делает «BlackSanta» чрезвычайно опасной угрозой. Организациям необходимо усилить мониторинг доступа к HR-системам и внедрить строгий контроль за запуском приложений.
Эксперты призывают к повышенной бдительности в отношении любых запросов, исходящих из внутренних систем, даже если они кажутся легитимными. Обучение сотрудников, особенно в отделах кадров, распознаванию аномалий в рабочих процессах становится не менее важным, чем традиционная кибергигиена.
