Русскоязычные злоумышленники заманивают сотрудников HR в загрузку ISO-файлов, отключающих защиту. Атака начинается через поддельные резюме и нацелена на кражу данных. — theregister.com
Русскоязычный киберпреступник нацеливается на HR-отделы корпораций с помощью поддельных резюме, которые незаметно устанавливают вредоносное ПО, способное отключать инструменты безопасности перед кражей данных с зараженных машин.
Операция, подробно описанная в отчете об угрозах от компании Aryaka, занимающейся сетевыми технологиями и безопасностью, использует один из самых обыденных рабочих процессов в организации: наем персонала.
Исследователи утверждают, что приманка поступает в виде внешне совершенно нормального заявления о приеме на работу, размещенного на известном сервисе облачного хранения данных. Для рекрутера, просматривающего стопку кандидатов, это выглядит как очередное резюме, но его открытие незаметно запускает серию фоновых действий, которые отключают инструменты безопасности и дают злоумышленникам плацдарм на машине.
“Сотрудник отдела кадров получает то, что выглядит как совершенно нормальное резюме”, — сказал Адитья К. Суд, вице-президент по разработке систем безопасности и стратегии ИИ в Aryaka. “Профиль кандидата кажется релевантным. Ссылка для размещения ведет на знакомый сервис облачного хранения. Ничто не кажется подозрительным. Быстрая загрузка, двойной клик, монтируется ISO-файл, и начинается вторжение”.
Вредоносный документ доставляется в виде образа диска ISO — файлового формата, который Windows может смонтировать как виртуальный диск. После открытия архив содержит ярлык, который незаметно запускает скрытые команды в фоновом режиме. Эти команды распаковывают вредоносное ПО, спрятанное внутри файла изображения — уловка, призванная затруднить обнаружение полезной нагрузки инструментами безопасности.
Далее атака проникает глубже в систему. Вредоносное ПО подключается к удаленной инфраструктуре, контролируемой злоумышленниками, и начинает собирать сведения о скомпрометированной машине, прежде чем загрузить дополнительные инструкции. Большая часть активности выполняется непосредственно в памяти, оставляя меньше следов для обнаружения защитниками.
Самой тревожной особенностью кампании является компонент под кодовым названием “BlackSanta”, который в отчете описывается как EDR killer — программное обеспечение, специально разработанное для отключения тех самых инструментов, которые призваны обнаруживать вторжения.
BlackSanta использует тактику, известную как Bring Your Own Vulnerable Driver (Используй свой уязвимый драйвер), загружая легитимные, но содержащие ошибки, драйверы ядра для получения более глубокого контроля над системой. Получив такой уровень доступа, вредоносное ПО может начать отключать защиту — завершать процессы антивирусов, деактивировать агенты EDR, ослаблять Microsoft Defender и даже заглушать некоторые журналы, которые в противном случае могли бы предупредить администраторов о неладном.
Практически этот инструмент выводит из здания охранников до того, как грабители начнут рыться в картотеках.
После отключения защиты вредоносное ПО переключается на сбор данных, ища полезную информацию на зараженном устройстве. Согласно отчету, злоумышленников особенно интересуют конфиденциальные файлы и артефакты, связанные с криптовалютами. Любые найденные ценные данные незаметно эксфильтруются по зашифрованным соединениям.
По мнению Aryaka, более широкий урок заключается в том, что каналы найма стали на удивление эффективной точкой входа для злоумышленников. Команды по найму регулярно загружают файлы от незнакомцев и работают в условиях давления, обрабатывая большие объемы заявок, что делает их привлекательной мишенью по сравнению с более строго контролируемыми ИТ-средами.
Для компаний, которые считают почтовые ящики HR-отделов территорией с низким уровнем риска, этот отчет показывает, что злоумышленники все чаще готовы начинать свои взломы там, где охрана наименее бдительна.
“Организации должны относиться к рабочим процессам HR с той же оборонительной строгостью, что и к функциям финансов и ИТ-администрирования”, — заключил Суд. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Carly Page