Описание на кампанията

През последната година русскоговореща заплаха е насочена към човешки ресурси (HR) чрез зловреден софтуер, който включва модул за премахване на решения за защита на крайните точки (EDR killer) – BlackSanta.

• Кампанията съчетава социален инженеринг със сложни техники за заобикаляне на защита.

• Основната цел е кражба на чувствителна информация от компрометирани системи.

• Началото на атаката е неясно, но изследователите на Aryaka смятат, че тя започва чрез spear-phishing имейли.

Метод на заразяване

• Целевите потребители биват насочвани да свалят ISO файлове, представени като CV-та, хоствани на Dropbox или други облачни услуги.

• Един анализиран ISO съдържа четири файла:

  1. .LNK (Windows Shortcut), маскиран като PDF

  2. PowerShell скрипт

  3. Изображение

  4. .ICO файл

Как се активира malware-ът:

1. Shortcut-ът стартира PowerShell и изпълнява скрипта.

2. Скриптът извлича скрити данни от изображението чрез стеганография и ги изпълнява директно в паметта.

3. Изтегля се ZIP архив с легитимен SumatraPDF и зловредна DLL (DWrite.dll), използвайки DLL sideloading.

• Софтуерът извършва fingerprinting на системата, изпраща информация до C2 сървър и проверява за sandbox, виртуални машини и дебъгери, като прекратява изпълнението при тяхното наличие.

• Модифицира Windows Defender настройки, за да отслаби защитата, и извършва тестове за запис на диск.

BlackSanta EDR Killer

BlackSanta е ключов компонент, който заглушава решенията за сигурност преди разполагането на зловредни модули:

• Добавя изключения в Microsoft Defender за .dls и .sys файлове.

• Променя Registry стойности, за да намали телеметрията и автоматичното изпращане на проби към Microsoft Security Cloud.

• Потиска Windows известия, за да минимизира алармите към потребителя.

Основни функции:

1. Изброяване на текущо работещи процеси.

2. Сравняване с твърдо кодирана листа на антивируси, EDR, SIEM и форензични инструменти.

3. Получаване на ID-та на процеси.

4. Използване на заредени драйвери за терминиране на процеси на kernel ниво.

Допълнителни компоненти за повишаване на привилегиите

• Malware изтегля BYOD драйвери:

  • RogueKiller (truesight.sys) – манипулира kernel hooks и паметта

  • IObitUnlocker.sys – заобикаля заключване на файлове и процеси

Това дава ниво на достъп до системната памет и процесите, позволявайки ефективно потискане на сигурността.

Кампанията, наблюдавана от Aryaka, показва:

• Висока оперативна сигурност на нападателя

• Контекстуално и скрито разгръщане на инфекцията

• Използване на BlackSanta EDR и драйвери за ниско ниво за компрометиране на системата

Тази заплаха демонстрира ново поколение методи за заобикаляне на EDR и антивирусни решения, като изисква повишено внимание от организациите, особено HR отделите.