Угроза нацелена на HR-специалистов: вредонос BlackSanta обходит системы защиты

По имеющимся данным, начальным вектором атаки, предположительно, стала целевая рассылка фишинговых писем. Злоумышленники, маскируясь под соискателей, отправляли ссылки для загрузки файлов с облачных хранилищ, например Dropbox. Один из наблюдаемых образцов, файл «Celine_Pesant.iso», имел имя, стилизованное под резюме реального человека, что повышало доверие у специалистов по подбору персонала. Внутри ISO-образа находился набор файлов, включая ярлык Windows (.lnk), замаскированный под PDF-документ, а также скрипт PowerShell и изображение. Эта комбинация формирует многоступенчатую цепочку выполнения, которая активируется при открытии ярлыка.

Исполнение ярлыка запускает скрытую командную строку, которая, в свою очередь, запускает PowerShell с обфусцированной командой для выполнения скрипта "script.ps1". Этот скрипт использует технику стеганографии, извлекая скрытые данные из пикселей изображения "image1.png" с помощью метода LSB (Least Significant Bit - наименее значимый бит). Извлечённая информация представляет собой закодированную команду PowerShell, которая выполняется непосредственно в памяти, что затрудняет обнаружение. Данная команда загружает ZIP-архив с домена, связанного с тематикой резюме, что поддерживает легенду атаки.

Внутри архива находятся легитимная версия программы SumatraPDF и вредоносная библиотека "DWrite.dll". Здесь применяется техника DLL sideloading (подмены библиотеки), когда доверенное приложение, в данном случае SumatraPDF, загружает вредоносную DLL из своей рабочей директории вместо системной. Это позволяет зловреду выполниться под прикрытием легального процесса. Код содержит комментарии на русском языке, что может указывать на языковую принадлежность разработчиков угрозы, однако географическая или национальная атрибуция авторов в подобных расследованиях часто носит предположительный характер и требует дополнительных доказательств.

После успешной загрузки вредоносная библиотека приступает к разведке системы. Она собирает информацию об операционной системе, имени пользователя и компьютера из реестра и переменных окружения. Эти данные формируют цифровой отпечаток системы, который кодируется и отправляется на командный сервер злоумышленников (C2 - Command and Control) через HTTPS-запрос. Важной особенностью является то, что сервер в ответ отправляет криптографические ключи, которые используются для динамической расшифровки последующих строк в памяти. Это усложняет статический анализ образца и работу средств обнаружения, основанных на сигнатурах.

Перед переходом к основной вредоносной деятельности модуль проводит тщательную проверку окружения. Он ищет признаки виртуальных машин, песочниц, отладчиков и эмулированных систем. Кроме того, в коде присутствуют жёстко заданные чёрные списки имён компьютеров и пользователей, которые часто используются в лабораториях для анализа вредоносного ПО. Если проверка выявляет совпадение, образец отправляет на сервер телеметрию с указанием причины и прекращает работу, чтобы избежать изучения в контролируемой среде.

Ключевым компонентом кампании является модуль BlackSanta, функция которого - обезвреживание средств защиты конечных точек. Перед развёртыванием дополнительной полезной нагрузки этот модуль активно ищет и пытается отключить антивирусные решения и агенты EDR. Это обеспечивает последующим компонентам возможность работать без обнаружения, предоставляя злоумышленникам практически полный контроль над скомпрометированной системой. Такая тактика подчёркивает высокий уровень профессионализма и нацеленность на долгосрочное закрепление в инфраструктуре жертвы.

Основные риски для организаций, ставших мишенью данной кампании, включают хищение конфиденциальной информации. Поскольку атака нацелена на HR-департаменты, под угрозой могут оказаться персональные данные сотрудников и соискателей, внутренние документы и переписка. Длительное скрытое присутствие в сети позволяет злоумышленникам проводить выборочный сбор данных и перемещаться по инфраструктуре. Более того, нейтрализация систем защиты открывает путь для развёртывания других типов вредоносного ПО, например программ-вымогателей.

Для специалистов по кибербезопасности данная кампания служит напоминанием о критической важности многоуровневой защиты. Во-первых, необходимо усилить обучение сотрудников, особенно в отделах, часто контактирующих с внешними источниками, таких как HR. Тренинги по распознаванию целевого фишинга должны быть регулярными и практико-ориентированными. Во-вторых, ключевое значение имеет внедрение решений, способных обнаруживать аномальное поведение и сложные техники исполнения, такие как запуск скриптов в памяти и подмена DLL. Технологии EDR и XDR в данном контексте незаменимы. В-третьих, актуальным остаётся принцип сегментации сети и минимальных привилегий, что может ограничить перемещение злоумышленника даже в случае успешного проникновения. Наконец, регулярный аудит логов и сетевого трафика на предмет аномальных соединений с внешними доменами может помочь выявить компрометацию на ранней стадии.

IPv4

• 157.250.202.215
• 67.217.48.59

Domains

• newresumebuilders.us
• resumebuilders.us
• thresumebuilder.com

SHA256

• 2058822b66902281330188a807b0e6cc6dd52dedb3c27b29bf8142c35d825325
• 5b1c4c364ae93930a66418e5ca809e7d07ef68cd0ea19930dc827269b70101c5
• 6e18487830e4c0412e385286a2e614be84279cad6500173fbc2b9492b030dc68
• 83fcc6bf733751bab43e92d31b810c4cecd4d8640668d2ed26f47f62edd942cf
• 852b94a32a2db937acf79e589287d898218fabe017ed582dfda7422be205d157
• 9834104526beb2bd67bfac138264946905610caf659bf7831f687a096ec224f4
• c79a2bb050af6436b10b58ef04dbc7082df1513cec5934432004eb56fba05e66
• ddffb15e596feb3ddc3c66859517ebdd16c43f380f7047c0a290482bf10f1e2b

• blacksanta-edr-killer-threat-report