Более года русскоязычный злоумышленник нацеливался на отделы кадров (HR) с помощью вредоносного ПО, доставляющего новый EDR-киллер под названием BlackSanta.
Кампания, которую описывают как «сложную», сочетает социальную инженерию с передовыми методами обхода защиты для кражи конфиденциальной информации из скомпрометированных систем.
Неясно, как начинается атака, но исследователи из Aryaka, поставщика сетевых решений и решений в области безопасности, подозревают, что вредоносное ПО распространяется посредством целенаправленных фишинговых писем.
Они полагают, что цели направляются на загрузку файлов образов ISO, которые маскируются под резюме и размещаются в облачных хранилищах, таких как Dropbox.
Один проанализированный вредоносный ISO-файл содержал четыре файла: ярлык Windows (.LNK), замаскированный под PDF-файл, скрипт PowerShell, изображение и файл .ICO.
Ярлык запускает PowerShell и выполняет скрипт, который извлекает данные, скрытые в файле изображения с помощью стеганографии, и выполняет их в памяти системы.
Код также загружает ZIP-архив, содержащий легитимный исполняемый файл SumatraPDF и вредоносный DLL-файл (DWrite.dll) для загрузки с использованием техники DLL sideloading.
Вредоносное ПО выполняет сбор информации о системе (fingerprinting) и отправляет ее на командно-контрольный (C2) сервер, после чего проводит обширные проверки окружения, чтобы остановить выполнение, если обнаружены песочницы, виртуальные машины или инструменты отладки.
Оно также изменяет настройки Защитника Windows для ослабления безопасности на хосте, выполняет тесты записи на диск, а затем загружает дополнительные полезные нагрузки с C2, которые выполняются через process hollowing внутри легитимных процессов.
EDR-киллер BlackSanta
Ключевым компонентом, доставляемым в рамках кампании, является исполняемый файл, идентифицированный как EDR-киллер BlackSanta — модуль, который отключает решения безопасности конечных точек перед развертыванием вредоносных полезных нагрузок.
BlackSanta добавляет исключения Microsoft Defender для файлов с расширениями «.dls» и «.sys» и изменяет значение в реестре для уменьшения телеметрии и автоматической отправки образцов на облачные конечные точки безопасности Microsoft.
В отчете исследователей (PDF) отмечается, что BlackSanta также может подавлять уведомления Windows, чтобы минимизировать или полностью заглушить оповещения пользователей. Основная функция BlackSanta — завершение процессов безопасности, которое он выполняет следующим образом:
- перечисление запущенных процессов
- сравнение имен с большим жестко закодированным списком антивирусных программ, EDR, SIEM и криминалистических инструментов
- получение идентификаторов совпадающих процессов
- использование загруженных драйверов для разблокировки и завершения этих процессов на уровне ядра
Aryaka не раскрыла подробностей о целевых организациях или злоумышленниках, стоящих за кампанией, и не смогла получить финальную полезную нагрузку, использованную в наблюдаемом случае, поскольку C2-сервер был недоступен на момент их анализа.
Исследователям удалось идентифицировать дополнительную инфраструктуру, используемую тем же злоумышленником, и обнаружить несколько IP-адресов, связанных с этой кампанией. Таким образом они выяснили, что операция проводилась незамеченной в течение последнего года.
Изучив IP-адреса, исследователи обнаружили, что вредоносное ПО также загружало компоненты Bring Your Own Driver (BYOD), которые включали драйвер RogueKiller Antirootkit v3.1.0 от Adlice Software и IObitUnlocker.sys v1.2.0.1 от IObit.
Эти драйверы использовались в операциях с вредоносным ПО (1, 2) для получения повышенных привилегий на скомпрометированной машине и подавления инструментов безопасности.
RogueKiller (truesight.sys) позволяет манипулировать перехватами ядра и мониторингом памяти, в то время как IObitUnlocker.sys позволяет обходить блокировки файлов и процессов. Эта комбинация предоставляет вредоносному ПО доступ низкого уровня к памяти и процессам системы.
Исследователи Aryaka заявляют, что злоумышленник, стоящий за кампанией, демонстрирует высокую операционную безопасность и использует контекстно-зависимые, скрытные цепочки заражения для развертывания таких компонентов, как EDR-киллер BlackSanta.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
