ISO Curriculus als Betten die BlackSanta Kampagne deaktiviert EDR und stiehlt Daten

Seit mehr als einem Jahr hat ein russischsprachiger Drohungsakteur eine Kampagne für Personalabteilungen durchgeführt, die Social Engineering mit fortschrittlichen Evasionstechniken kombiniert, um Informationen aus engagierten Geräten zu extrahieren. Die Angreifer posieren als Kandidaten und verwendet ISO-Bilddateien, die das, was als Curriculus erschienen, in Cloud-Speicherdiensten, wie Dropbox, untergebracht, mit dem Ziel, die Vertragsoffiziere zu täuschen, diese Container herunterzuladen und zu öffnen.

Die Analyse der Forscher des Netzwerks und der Sicherheitslösungen von Aryaka zeigt eine Kette von Infektionen, die ungemerkt passieren sollen. In den schädlichen ISOs untersucht vier Elemente erschienen: ein direkter Zugriff auf Windows (.LNK), der simuliert ist ein PDF, ein PowerShell-Skript, ein Bild und ein Icon (.ICO). Durch das Öffnen des direkten Zugriffs wurde PowerShell gestartet, um das Skript auszuführen, das wiederum sie extrahierte versteckte Daten im Bild mittels Steganographie und lief sie nur im Gedächtnis, verhindert, dass schädliche Dateien auf der Festplatte sichtbar werden.

Darüber hinaus hat das Skript eine ZIP-Datei heruntergeladen, die eine legitime Version von SumatraPDF-Lesegerät zusammen mit einer bösartigen DLL (DWrite.dll) entwickelt, um es mittels der Technik als geladen DLL Sideloading. Diese Technik nutzt signierte oder legitime Ausführbare, um manipulierte Buchhandlungen zu laden, die die Erkennung durch traditionelle Lösungen erschwert. Der Code sammelte dann Informationen aus dem System (Fingerprinting) und schickte ihn an einen Steuer- und Steuerserver (C2), während die Umweltprüfungen durchgeführt wurden: wenn er virtuelle Maschinen, Sandkästen oder Debugging-Tools erkannte, brach er die Ausführung ab, um das Aufgeben zu vermeiden.

Ein zentraler Teil der Operation ist eine als Schwarz, von den Autoren des Berichts als "EDR-Killer" beschrieben. Sein Ziel ist es, Endpunkteschutze zu deaktivieren oder zu neutralisieren, bevor gefährlichere Nutzlasten eingesetzt werden. Unter seinen dokumentierten Aktionen ist die Erstellung von Ausschlüssen in Microsoft Defender für bestimmte Erweiterungen (z.B. .dls und .sys Dateien) und die Änderung von Registry Schlüsseln, um Telemetrie und automatische Abtastung auf Microsoft Cloud-Sicherheitsdienste zu reduzieren. Der Aryaka-Bericht weist auch darauf hin, dass BlackSanta Windows-Benachrichtigungen löschen kann, um Benutzer-sichtbare Warnungen zu minimieren und dass sein Hauptmechanismus ist, Prozesse im Zusammenhang mit Antiviren-, EDR-, SIEM- und Forensic-Tools zu erkennen, um sie zu beenden, indem auf geladene Controller auf der Kernel-Ebene.

Die Forscher fanden auch zusätzliche Infrastruktur im Zusammenhang mit dem gleichen Schauspieler und fanden heraus, dass die Kampagne funktionierte, ohne dass sie für ein Jahr entdeckt wurde. Die Analyse der von den Angreifern verwendeten IP-Adressen zeigte Downloads von "Bring Your Own Driver" (BYOD) Komponenten, einschließlich legitimer, aber missbrauchter Controller, wie RogueKiller (von Adlice) und IObitUnlocker Anti-rootkit. Diese Controller, die ursprünglich für legitime Zwecke entwickelt wurden, wurden in bösartigen Operationen verwendet, um hohe Privilegien zu erhalten und Kernel Haken zu manipulieren oder Datei- und Prozessblöcke zu entfernen, die dem Angreifer einen Low-Level-Zugriff sehr schwierig, aus dem kompromittierten System selbst enthalten.

Die Technik des Führens von Lasten im Speicher, Verstecken von Anweisungen in Bildern, unter Verwendung von DLL Sideloading und Abnutzung legitime Treiber bildet eine Kette von Verpflichtungen, um Unterschriften und Sandkästen zu vermeiden. Das Ergebnis ist eine stehlende und anpassungsfähige Operation mit einem Schauspieler, der sich um seine Betriebssicherheit kümmert, so dass seine Werkzeuge - wie BlackSanta - eingesetzt und betrieben werden können, ohne durch die üblichen Abwehrkräfte unterbrochen zu werden.

Für diejenigen, die Auswahlprozesse verwalten, gibt es eine klare Lektion: Die Angreifer haben die Curriculus in effektive Zwiebeln verwandelt. Öffnen Sie eine ISO oder führen Sie eine Datei, die von einer unified Source erhalten wird, kann eine Intrusion auslösen, die zunächst den Schutz der Geräte deaktiviert und dann schädlichere Komponenten herunterlädt. Organisationen sollten Richtlinien und Kontrollen überprüfen, um sicherzustellen, dass montable oder ausführbare Dateien, die von externen Links heruntergeladen werden, ohne Überprüfung geöffnet werden und dass die Fahrerhandling hohe Genehmigungen und Audit erfordert.

Wenn Sie die technischen Details vertiefen möchten, bietet Aryakas eigener Bericht eine technische Analyse und Verhaltensmuster durch Beobachtung der Kampagne: Technischer Bericht von Aryaka (PDF). Um zu verstehen, warum die Verwendung von legitimen Fahrern besonders gefährlich ist, können Sie die Seiten der Entwickler dieser Treiber überprüfen, wie Adlice für RogueKiller ( adlice.com / roguekiller) und IObit für IObit Unlocker ( iobit.com / iobit-unlocker), wo sein legitimer Zweck erklärt wird und wie sein Missbrauch einen Vektor der Aufhebung von Privilegien darstellt. Um die Vision zu ergänzen, wie diese Techniken in anderen Kampagnen erschienen sind und wie Verteidiger sie mildern können, gibt es spezialisierte Abdeckung in Cybersicherheitsmedien, die den Einsatz von Fahrern hervorgehoben haben, die von Angreifern unterzeichnet wurden, um EDR zu neutralisieren, zum Beispiel in BlepingComputer, und die offizielle Dokumentation von Microsoft verdeutlicht, wie Ausschlüsse und Telemetrie in Verteidigung ( Microsoft Verschlüsselungsdokumentation)

Was sollen die verantwortlichen Teams heute tun? Vermeiden Sie die Behandlung von ISO oder ausführbaren Dateien ohne Validierung, verhängen Sie virtuelle Bild-Download- und Montagesteuerungen, Audit-Änderungen im Register und Antivirenausschlüsse und beschränken Sie die Installation von nicht überprüften Treibern. Es wird auch empfohlen, den ausgehenden Verkehr auf unbekannte Server zu überwachen, System-Fingerabdrucksignale und anormales Verhalten (Memory-Ausführung, Injecting-Prozesse) zu korrelieren und eine klare Kommunikation zwischen RR zu pflegen. HH und Sicherheitsteams sorgen dafür, dass ein verdächtiges Curriculum als potenzieller Vorfall behandelt wird.

Die Kampagne, die BlackSanta liefert, erinnert daran, dass die Angriffsoberfläche über die phishing "obvious" E-Mails entwickelt: die Angreifer kombinieren menschliche Täuschung mit komplexen technischen Werkzeugen die Verteidigung zu stillen und in den Netzwerken zu bleiben. Effektiver Schutz durch technische Richtlinien (ISOs Montageblock, strenge Fahrersteuerung, EDR mit geschützter Telemetrie) und praktische Schulungen für CVs, um Risikosignale zu erkennen, bevor sie mit potenziell gefährlichen Dateien interagieren. Allgemeine Informationen über die Identifizierung und Reaktion auf Subplantationsstellen, den Leitfaden der US-Infrastruktur- und Cybersicherheitsagentur. UU kann nützlich sein: CISA-Empfehlungen zum Phishing.

Kurz gesagt, BlackSanta ist nicht nur ein weiteres Stück Malware: es ist die Frucht einer Operation, die gerichtete Social Engineering, Ausführung in Erinnerung, Verwendung von Hilfslasten und Missbrauch von legitimen Komponenten zu schweigen Verteidigung vermischt. Dieser Ansatz erfordert auch koordinierte Reaktionen zwischen RR. HH., IT und Sicherheit, um die Belichtungsfenster zu schließen und frühe Signale zu erkennen, bevor die Angreifer die Schutzbarrieren entfernen.