BlackSanta атакует отдел кадров: ISO‑файлы, DLL sideloading, EDR‑killer

Недавно раскрытая вредоносная кампания BlackSanta, атрибутируемая русскоязычному злоумышленнику, в первую очередь нацелена на отделы кадров и подбор персонала. Злоумышленники используют целевой фишинг с подложными резюме и ISO-файлами, запускающими многоэтапную цепочку развертывания вредоносных компонентов, что приводит к скрытой компрометации систем организации.

Как работает атака

Атакующие рассылают электронные письма с ссылками на загрузку ISO-файлов, маскируемых под законные документы соискателей. При запуске ISO начинается последовательность действий, включающая ярлыки Windows, скрипты PowerShell и методы стеганографии для извлечения скрытых данных. В исследованных образцах, например в файле «Celine_Pesant.iso», последовательность выполнения приводит к загрузке и запуску вредоносных библиотек.

Ключевые технические приёмы

• DLL sideloading: легитимное приложение SumatraPDF загружает вредоносную библиотеку DWrite.dll из того же каталога, что позволяет обойти стандартные средства защиты.
• Многоступенчатое развертывание: использование ярлыков, скриптов PowerShell и стеганографии для тайной загрузки и виконания дополнительных модулей.
• Сбор и передача данных на C2: DWrite.dll собирает системную информацию, кодирует её и отправляет через HTTPS POST на сервер управления (C2).
• Защитные обходы: проверки среды выполнения на наличие виртуальных машин и отладчиков; завершение работы при обнаружении индикаторов анализа.
• Отключение защит: изменение настроек Windows Defender и нейтрализация средств защиты конечной точки с помощью компонента BlackSanta EDR-killer.
• Использование низкоуровневых драйверов и BYOD-компонентов: применение «Bring Your Own Driver» элементов для обхода контроля и закрепления доступа на уровне ядра.

Поведение после компрометации

После первичного захвата площадки злоумышленник получает прочный плацдарм для дальнейших действий: загрузка дополнительных полезных нагрузок, эксфильтрация данных, длительное скрытное присутствие. Синергия технологий (steganography, DLL sideloading, EDR evasion, драйверы) обеспечивает масштабную кражу данных и устойчивость атаки в течение всего жизненного цикла эксплуатации. Кампания действовала незаметно более года, демонстрируя хорошо скоординированные и продвинутые тактики.

Индикаторы компрометации (IoC) — на что обратить внимание

• Необычные ISO-файлы, полученные от соискателей или сторонних контактов (включая имена вроде Celine_Pesant.iso).
• Запуск SumatraPDF из каталогов пользователя вместе с подозрительными DWrite.dll.
• Необычная сетевая активность: HTTPS POST-запросы к неизвестным доменам/эндпойнтам с закодированными системными данными.
• Отключение или изменение настроек Windows Defender и нестандартное поведение EDR.
• Признаки загрузки и установки драйверов от неподписанных/неизвестных поставщиков.
• Наличие PowerShell-скриптов, которые извлекают данные через стеганографические техники.

Рекомендации по защите

Для минимизации риска и быстрого реагирования на подобные кампании эксперты рекомендуют комплексный подход:

• Ограничить возможность монтирования/запуска ISO в пользовательских профилях и блокировать загрузку исполняемых файлов из вложений без проверки.
• Ввести политику application allowlisting и контролировать запуск сторонних PDF-ридеров: при возможности ограничить использование SumatraPDF или проверять его исполняемые файлы и библиотеки.
• Мониторить загрузку DLL из рабочих директорий приложений и использовать поведенческие правила для детекции DLL sideloading.
• Включить и зафиксировать настройки Windows Defender, обеспечить централизованное управление политиками безопасности и реагирование EDR.
• Осуществлять TLS-inspection/SSL-interception на периметре для обнаружения подозрительных HTTPS POST-запросов к C2 и применять IDS/IPS с правилами для выявления атипичного трафика.
• Блокировать установку неподписанных низкоуровневых драйверов и отслеживать появление новых драйверов в системе.
• Обучать сотрудников HR и рекрутеров признакам целевого фишинга: проверять отправителей, не открывать ISO/архивы без проверки, использовать безопасные порталы для приёма резюме.
• При подозрении на компрометацию немедленно изолировать хост, сохранить артефакты (логи, дампы памяти, образ диска) и провести форензику с целью удаления persistence-механизмов.

Вывод

Кампания BlackSanta демонстрирует сочетание классических и продвинутых техник: таргетированный фишинг, стеганография, DLL sideloading, отключение защит и использование низкоуровневых драйверов. Это подтверждает, что современные атакующие нацелены не только на первые доступы, но и на долговременное скрытное присутствие в корпоративных сетях. Защита требует скоординированных мер на уровне политики, endpoint- и network-контролей, а также повышения осведомлённости сотрудников, особенно в HR‑службах.

Ключевое послание для организаций: контроль над вектором доставки (вложениями и ISO) и проактивная защита конечных точек — главное условие предотвращения таких атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.