«Чёрный Санта» пришёл за вашим кадровиком. Хакеры нашли способ ломать EDR через обычный PDF

Киберпреступная кампания, направленная против отделов кадров, более года оставалась незамеченной и использовала вредоносное ПО с модулем для отключения защитных систем. Специалисты компании Aryaka обнаружили новую программу под названием «BlackSanta», которая подавляет средства обнаружения угроз на компьютере и помогает атакующим закрепиться в системе.

По данным команды Aryaka, злоумышленники применяют комбинацию социальной инженерии и скрытых техник обхода защиты. Атака, вероятно, начинается с целевых фишинговых писем, адресованных сотрудникам HR-подразделений. Получателям предлагают скачать файл-образ ISO, замаскированный под резюме кандидата и размещённый в облачных хранилищах вроде Dropbox.

Анализ одного из таких образов показал внутри четыре файла. Среди них находился ярлык Windows с расширением .LNK, замаскированный под PDF-документ. После запуска ярлык активирует PowerShell-скрипт. Скрипт извлекает зашифрованные данные из изображения при помощи стеганографии и выполняет полученный код прямо в памяти системы.

Затем вредоносная цепочка загружает архив ZIP. Внутри размещены легитимная программа просмотра документов SumatraPDF и вредоносная библиотека DWrite.dll. Последняя запускается через подмену библиотек, что позволяет скрыть вредоносную активность под видом обычного приложения.

После запуска программа собирает информацию о системе и отправляет данные на управляющий сервер. Далее вредоносное ПО проверяет окружение на наличие виртуальных машин, песочниц и инструментов отладки. При обнаружении подобных средств выполнение прекращается, чтобы избежать анализа.

Код также ослабляет встроенную защиту Microsoft Defender, меняя настройки безопасности и проводя тесты записи на диск. После этого система получает дополнительные модули с управляющего сервера. Компоненты внедряются в легитимные процессы методом подмены памяти.

Ключевым элементом цепочки выступает исполняемый файл BlackSanta. Модуль добавляет исключения для определённых типов файлов в настройках Defender, снижает уровень телеметрии и отключает автоматическую отправку подозрительных образцов в облачную инфраструктуру Microsoft. Программа также подавляет системные уведомления Windows, чтобы скрыть признаки компрометации.

Основная задача BlackSanta — завершение работы защитных инструментов. Для этого модуль перебирает активные процессы, сверяет названия с большим встроенным списком антивирусных и аналитических программ, включая EDR-системы, определяет их идентификаторы и принудительно останавливает через драйверы на уровне ядра.

При анализе сетевой инфраструктуры специалисты обнаружили дополнительные IP-адреса, связанные с кампанией. По их данным, операция действовала не менее года. Вредоносная программа также загружала драйверы легитимных утилит — RogueKiller Antirootkit версии 3.1.0 от Adlice Software и IObitUnlocker.sys версии 1.2.0.1 от IObit. Подобная техника позволяет вредоносному коду получить расширенные привилегии и вмешиваться в работу системной памяти и процессов.

Авторы отчёта отмечают высокий уровень скрытности операции. Используемые методы заражения учитывают контекст работы жертвы и позволяют незаметно разворачивать компоненты вроде BlackSanta, что значительно усложняет обнаружение атаки.