ロシア語を話すサイバー犯罪者が、企業のHRチームを対象に、セキュリティツールを無効化してから感染マシンからデータを盗くことができるマルウェアを静かにインストールするフェイクCVを使用して攻撃を行っています。
ネットワーキングとセキュリティ企業Aryakaの脅威レポートで詳述されているこの作戦は、組織内で最も平凡なワークフローの1つである採用を悪用しています。
研究者によると、おとりは有名なクラウドストレージサービスに置かれた完全に正常な求人応募書類のように見えます。採用担当者が候補者のスタックをざっと見ると、それは単なるもう1つのCVのように見えますが、それを開くと静かにセキュリティツールを無効化し、攻撃者にマシンへの足がかりを与える一連のバックグラウンドアクションが開始されます。
「HR職員は完全に正常に見えるレジュメを受け取ります」とAryakaのセキュリティエンジニアリングおよびAI戦略担当副社長のAditya K Soodは述べています。「候補者プロフィールは関連しているように見えます。ホスティングリンクは馴染みのあるクラウドストレージサービスを指しています。何も疑わしいことはありません。素早いダウンロード、ダブルクリック、ISOファイルがマウントされ、侵入が始まります。」
悪意のあるドキュメントはISOディスクイメージとして到着します。これはWindowsが仮想ドライブのようにマウントできるファイル形式です。開くと、アーカイブには背景で静かに隠しコマンドを起動するショートカットが含まれています。これらのコマンドはイメージファイル内に隠されたマルウェアを解凍します。これはセキュリティツールがペイロードを検出しにくくするために設計されたトリックです。
そこから攻撃はシステムの奥深くに掘り進みます。マルウェアは攻撃者に制御されたリモートインフラストラクチャに接続し、追加の指示をダウンロードする前に侵害されたマシンの詳細を収集し始めます。活動の多くはメモリ上で直接実行され、後で防御者が発見するための痕跡がより少なく残されます。
このキャンペーンの最も懸念される特徴は、「BlackSanta」と呼ばれるコンポーネントです。レポートではこれをEDRキラーとして説明しています。つまり、侵入を検出するために設計されたツールそのものを無効化するために特別に設計されたソフトウェアです。
BlackSantaは「Bring Your Own Vulnerable Driver」として知られる戦術に頼ります。合法的だが不具合のあるカーネルドライバーをロードしてシステムをより深く制御します。そのレベルのアクセスを得たら、マルウェアは防御を破壊し始めることができます。アンチウイルスプロセスを終了したり、EDRエージェントを無効化したり、Microsoft Defenderを弱体化させたり、管理者に何か問題があることを知られる可能性のあるログをミュートしたりすることができます。
実際の用語では、ツールは泥棒がファイルキャビネットを探し始める前にビルからセキュリティガードを排除します。
防御が無効化されると、マルウェアはデータ収集にシフトし、感染デバイス上の有用な情報を探します。レポートによると、攻撃者は特に機密ファイルと暗号資産関連の成果物に関心があります。見つかった貴重なデータはすべて暗号化された接続を通じて静かに流出されます。
Aryakaによると、より広い教訓は、採用パイプラインが攻撃者にとって驚くほど効果的なエントリーポイントになったということです。採用チームは定期的に見知らぬ人からファイルをダウンロードし、大量のアプリケーションを処理するというプレッシャーの下で働いており、より厳しく制御されたIT環境と比較して、魅力的なターゲットになっています。
HR受信トレイを低リスク領域として扱う企業にとって、このレポートは攻撃者がガードが見張る可能性が最も低い場所で侵入を開始することにますます満足していることを示しています。
「組織はHRワークフローを財務およびIT管理機能と同じ防御的厳密さで扱うべきです」とSoodは結論付けました。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/10/malware_targeting_hr/
