- 26,301
- 46
- 8 Ноя 2022
Любое письмо на почте может парализовать работу вашей компании.
Киберпреступная кампания, направленная против отделов кадров, более года оставалась незамеченной и использовала вредоносное ПО с модулем для отключения защитных систем. Специалисты компании Aryaka обнаружили новую программу под названием «BlackSanta», которая подавляет средства обнаружения угроз на компьютере и помогает атакующим закрепиться в системе.
По данным команды Aryaka, злоумышленники применяют комбинацию социальной инженерии и скрытых техник обхода защиты. Атака, вероятно, начинается с целевых фишинговых писем, адресованных сотрудникам HR-подразделений. Получателям предлагают скачать файл-образ ISO, замаскированный под резюме кандидата и размещённый в облачных хранилищах вроде Dropbox.
Анализ одного из таких образов показал внутри четыре файла. Среди них находился ярлык Windows с расширением .LNK, замаскированный под PDF-документ. После запуска ярлык активирует PowerShell-скрипт . Скрипт извлекает зашифрованные данные из изображения при помощи стеганографии и выполняет полученный код прямо в памяти системы.
Затем вредоносная цепочка загружает архив ZIP. Внутри размещены легитимная программа просмотра документов SumatraPDF и вредоносная библиотека DWrite.dll. Последняя запускается через подмену библиотек , что позволяет скрыть вредоносную активность под видом обычного приложения.
После запуска программа собирает информацию о системе и отправляет данные на управляющий сервер. Далее вредоносное ПО проверяет окружение на наличие виртуальных машин, песочниц и инструментов отладки. При обнаружении подобных средств выполнение прекращается, чтобы избежать анализа.
Код также ослабляет встроенную защиту Microsoft Defender , меняя настройки безопасности и проводя тесты записи на диск. После этого система получает дополнительные модули с управляющего сервера. Компоненты внедряются в легитимные процессы методом подмены памяти.
Ключевым элементом цепочки выступает исполняемый файл BlackSanta. Модуль добавляет исключения для определённых типов файлов в настройках Defender, снижает уровень телеметрии и отключает автоматическую отправку подозрительных образцов в облачную инфраструктуру Microsoft. Программа также подавляет системные уведомления Windows, чтобы скрыть признаки компрометации.
Основная задача BlackSanta — завершение работы защитных инструментов. Для этого модуль перебирает активные процессы, сверяет названия с большим встроенным списком антивирусных и аналитических программ, включая EDR-системы , определяет их идентификаторы и принудительно останавливает через драйверы на уровне ядра.
При анализе сетевой инфраструктуры специалисты обнаружили дополнительные IP-адреса, связанные с кампанией. По их данным, операция действовала не менее года. Вредоносная программа также загружала драйверы легитимных утилит — RogueKiller Antirootkit версии 3.1.0 от Adlice Software и IObitUnlocker.sys версии 1.2.0.1 от IObit. Подобная техника позволяет вредоносному коду получить расширенные привилегии и вмешиваться в работу системной памяти и процессов.
Авторы отчёта отмечают высокий уровень скрытности операции. Используемые методы заражения учитывают контекст работы жертвы и позволяют незаметно разворачивать компоненты вроде BlackSanta, что значительно усложняет обнаружение атаки.
Киберпреступная кампания, направленная против отделов кадров, более года оставалась незамеченной и использовала вредоносное ПО с модулем для отключения защитных систем. Специалисты компании Aryaka обнаружили новую программу под названием «BlackSanta», которая подавляет средства обнаружения угроз на компьютере и помогает атакующим закрепиться в системе.
По данным команды Aryaka, злоумышленники применяют комбинацию социальной инженерии и скрытых техник обхода защиты. Атака, вероятно, начинается с целевых фишинговых писем, адресованных сотрудникам HR-подразделений. Получателям предлагают скачать файл-образ ISO, замаскированный под резюме кандидата и размещённый в облачных хранилищах вроде Dropbox.
Анализ одного из таких образов показал внутри четыре файла. Среди них находился ярлык Windows с расширением .LNK, замаскированный под PDF-документ. После запуска ярлык активирует PowerShell-скрипт . Скрипт извлекает зашифрованные данные из изображения при помощи стеганографии и выполняет полученный код прямо в памяти системы.
Затем вредоносная цепочка загружает архив ZIP. Внутри размещены легитимная программа просмотра документов SumatraPDF и вредоносная библиотека DWrite.dll. Последняя запускается через подмену библиотек , что позволяет скрыть вредоносную активность под видом обычного приложения.
После запуска программа собирает информацию о системе и отправляет данные на управляющий сервер. Далее вредоносное ПО проверяет окружение на наличие виртуальных машин, песочниц и инструментов отладки. При обнаружении подобных средств выполнение прекращается, чтобы избежать анализа.
Код также ослабляет встроенную защиту Microsoft Defender , меняя настройки безопасности и проводя тесты записи на диск. После этого система получает дополнительные модули с управляющего сервера. Компоненты внедряются в легитимные процессы методом подмены памяти.
Ключевым элементом цепочки выступает исполняемый файл BlackSanta. Модуль добавляет исключения для определённых типов файлов в настройках Defender, снижает уровень телеметрии и отключает автоматическую отправку подозрительных образцов в облачную инфраструктуру Microsoft. Программа также подавляет системные уведомления Windows, чтобы скрыть признаки компрометации.
Основная задача BlackSanta — завершение работы защитных инструментов. Для этого модуль перебирает активные процессы, сверяет названия с большим встроенным списком антивирусных и аналитических программ, включая EDR-системы , определяет их идентификаторы и принудительно останавливает через драйверы на уровне ядра.
При анализе сетевой инфраструктуры специалисты обнаружили дополнительные IP-адреса, связанные с кампанией. По их данным, операция действовала не менее года. Вредоносная программа также загружала драйверы легитимных утилит — RogueKiller Antirootkit версии 3.1.0 от Adlice Software и IObitUnlocker.sys версии 1.2.0.1 от IObit. Подобная техника позволяет вредоносному коду получить расширенные привилегии и вмешиваться в работу системной памяти и процессов.
Авторы отчёта отмечают высокий уровень скрытности операции. Используемые методы заражения учитывают контекст работы жертвы и позволяют незаметно разворачивать компоненты вроде BlackSanta, что значительно усложняет обнаружение атаки.
- Источник новости
- www.securitylab.ru
