新‘BlackSanta’ EDR杀手被发现针对人力资源部门
Source: Bleeping Computer
在过去一年多的时间里,一名使用俄语的威胁行为者一直在针对人力资源(HR)部门投放一种能够击毁新型EDR的恶意软件,名为 BlackSanta。该活动被描述为“高度复杂”,将社会工程与先进的规避技术相结合,以窃取受感染系统中的敏感信息。Aryaka 的研究人员怀疑最初的感染向量是鱼叉式钓鱼邮件,诱导受害者下载看似简历的 ISO 镜像文件,这些文件托管在 Dropbox 等云存储服务上。
恶意 ISO 内容
分析的 ISO 包含四个文件:
- 一个伪装成 PDF 的 Windows 快捷方式(
.LNK) - 一个 PowerShell 脚本
- 一个图像文件
- 一个
.ICO文件
该快捷方式启动 PowerShell,进而执行脚本。脚本使用隐写技术从图像文件中提取隐藏的数据,并直接在系统内存中运行。它还会下载一个包含合法 SumatraPDF 可执行文件和恶意 DLL(DWrite.dll)的 ZIP 压缩包,后者通过 DLL 侧加载方式被加载。
已解密的 PowerShell 脚本
该恶意软件执行系统指纹识别,将信息发送到指挥控制(C2)服务器,并进行广泛的环境检查,以在检测到沙盒、虚拟机或调试工具时停止执行。随后它会:
- 修改 Windows Defender 设置以削弱主机安全
- 执行磁盘写入测试
- 从 C2 下载额外负载,并通过 进程空洞化 在合法进程内部执行
Source: https://www.bleepstatic.com/images/news/u/1220909/2026/March/avslist.jpg
BlackSanta EDR 杀手
在此次行动中交付的关键组件是一个被标识为 BlackSanta EDR 杀手 的可执行文件,该模块在部署恶意载荷之前会使端点安全解决方案失效。
- 为 “
.dls” 和 “.sys” 文件添加 Microsoft Defender 排除项 - 修改注册表值以降低遥测并阻止自动将样本提交至 Microsoft 安全云端点
- 抑制 Windows 通知,以最小化或静默用户警报
BlackSanta 的核心功能是终止安全进程。其实现方式如下:
- 枚举正在运行的进程
- 将进程名称与一个大型硬编码的防病毒、EDR、SIEM 与取证工具列表进行比对
- 获取匹配的进程 ID
- 使用已加载的驱动程序在内核层面解锁并终止这些进程
Aryaka 未披露目标组织或背后威胁行为者的细节,且由于检查时 C2 服务器不可用,未能获取最终载荷。
与同一威胁行为者关联的其他基础设施显示,过去一年中使用了多个 IP 地址。该恶意软件还下载了 自带驱动 (BYOD) 组件,包括:
- 来自 Adlice Software 的 RogueKiller Antirootkit 驱动 v3.1.0
- 来自 IObit 的 IObitUnlocker.sys v1.2.0.1
这些驱动在其他恶意软件行动中被用于获取提升的权限并抑制安全工具。RogueKiller(truesight.sys)允许操控内核钩子和内存监控,而 IObitUnlocker.sys 则绕过文件和进程锁定,提供对系统内存和进程的低层访问。
Aryaka 研究人员指出,威胁行为者展现出强大的作业安全性,并采用上下文感知、隐蔽的感染链来部署诸如 BlackSanta EDR 等组件。
进一步阅读