Добавить в корзинуПозвонить
Найти в Дзене
TrashExpert.ru: главный эксперт по гаджетам, технологиям и лайфхакам
397 подписчиков

BlackSanta атакует HR: фишинг с резюме и «убийца» EDR

2 мин
Киберпреступники уже как минимум год атакуют HR-отделы в разных организациях по всему миру, используя ранее не описанное вредоносное ПО BlackSanta. Главная особенность этой штуки — роль «EDR killer»: она пытается отключить средства endpoint-защиты, чтобы злоумышленники могли закрепиться глубже. Кампания попала в поле зрения исследователей Aryaka. Они описывают цепочку заражения как достаточно продуманную, с несколькими стадиями проверки окружения и подгрузкой компонентов по ходу атаки. Старт атаки выглядит максимально жизненно для HR: фишинговое письмо якобы с резюме кандидатов. Внутри — ссылка на папку в Dropbox, где лежит ISO-образ. ❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО ISO сегодня почти не используют в обычной офисной переписке. Поэтому в корпоративной почте это сильный красный флаг. Но если сотрудник скачает образ и распакует его, он увидит несколько файлов, среди которых исследователи отмечают ярлык (shortcut) и PowerShell-скрипт. Дальше PowerShell с
Оглавление

Киберпреступники уже как минимум год атакуют HR-отделы в разных организациях по всему миру, используя ранее не описанное вредоносное ПО BlackSanta. Главная особенность этой штуки — роль «EDR killer»: она пытается отключить средства endpoint-защиты, чтобы злоумышленники могли закрепиться глубже.

Кампания попала в поле зрения исследователей Aryaka. Они описывают цепочку заражения как достаточно продуманную, с несколькими стадиями проверки окружения и подгрузкой компонентов по ходу атаки.

Как устроена цепочка заражения: резюме, Dropbox и ISO

Старт атаки выглядит максимально жизненно для HR: фишинговое письмо якобы с резюме кандидатов. Внутри — ссылка на папку в Dropbox, где лежит ISO-образ.

❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО

ISO сегодня почти не используют в обычной офисной переписке. Поэтому в корпоративной почте это сильный красный флаг. Но если сотрудник скачает образ и распакует его, он увидит несколько файлов, среди которых исследователи отмечают ярлык (shortcut) и PowerShell-скрипт.

Дальше PowerShell скачивает два компонента: вредоносную DLL и легитимный PDF-ридер. Злоумышленники используют ридер для side-loading — подсовывают DLL так, чтобы её загрузил доверенный процесс.

Почему BlackSanta опасен: сначала проверка, потом отключение защиты

После запуска DLL первым делом проверяет среду: не работает ли она в песочнице и не запущена ли система в виртуальной машине. Если окружение «не похоже на лабораторию», вредонос догружает дополнительные полезные нагрузки, среди которых и BlackSanta.

BlackSanta исследователи называют «EDR killer». На практике это означает, что он пытается завершать процессы EDR до того, как на устройство прилетят следующие этапы атаки.

Поведение зависит от того, какое EDR-решение стоит на машине. В одном из сценариев BlackSanta умеет подавлять уведомления Windows, чтобы продолжать работу даже когда ОС пытается предупредить пользователя о подозрительной активности.

Что известно об атакующих и масштабе

Aryaka подтверждает, что атакующих видели «вживую», но не раскрывает, сколько организаций атаковали и сколько из них реально пострадали.

Личность группы тоже не названа. По описанному почерку исследователи считают, что это, скорее всего, не одна из самых известных «громких» группировок, которых обычно связывают с государственными структурами.

Технические детали кампании также описаны в заметке BleepingComputer.

❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО

Источники: Aryaka

Подписывайтесь на наши каналы в Telegram и Дзен, чтобы узнавать больше. И делитесь своим мнением и опытом в нашем чате.

BlackSanta атакует HR: фишинг с резюме и «убийца» EDR ⚡️