複数層のBlackSanta EDRキラーマルウェアによってターゲットされるHR部門

脅威アクターは、マルウェアを求人応募書類に偽装してHR（人事）部門をますます狙い始めています。

攻撃は正当な求人応募のように見えるもので始まります。HR専門家は、有名なクラウドストレージプラットフォームにホストされた履歴書を受け取り、そのファイルは信頼できるように見えます。

候補者のプロフィールは現実的で、公開されているポジションに関連しており、HR職員が悪意のある意図を疑う理由はほとんどありません。

しかし、ファイルがダウンロードされて開かれると、その履歴書は実はISOイメージです。

A 研究者によって発見された最近のキャンペーンは、カーネルレベルでエンドポイントセキュリティ保護をオフにすることができるコンポーネントであるBlackSanta EDRキラーを含む高度なマルウェアツールキットを配信するために、攻撃者がどのように採用ワークフローを悪用しているかを明かしています。

マウントされて開かれると、ファイルは静かに一連の悪意あるイベントを起動します。偽装されたショートカットファイル（LNK）が実行プロセスをトリガーし、被害者には無害に見えながら侵害の最初の段階を開始します。

BlackSanta EDRキラーマルウェア

採用ワークフローは、外部との通信と頻繁なドキュメントダウンロードに大きく依存しているため、サイバー犯罪者にとってますます魅力的になっています。

HR部門は、大量の履歴書を審査しながら、頻繁に厳しい期限下で未知の応募者からの添付ファイルを開きます。

IT部門とは異なり、HRシステムは常に高度な監視ツールまたは強化されたセキュリティポリシーで保護されているとは限りません。

同時に、これらのシステムは機密の個人識別情報（PII）を保存することが多く、内部企業プラットフォームへのアクセスを維持しています。信頼、緊急性、および貴重なデータのこの組み合わせは、攻撃者にとって理想的な環境を作ります。

マルウェアキャンペーンは、検出を回避するように設計された、慎重に構造化された複数層の実行プロセスに従います。

最初の段階は、被害者が悪意のあるショートカットを含むISOファイルを開くときに始まります。このショートカットは、攻撃の次の段階を開始する難読化されたPowerShellコマンドを起動します。

第2段階では、PowerShellスクリプトは、ステガノグラフィー画像ファイル内に隠された隠蔽されたペイロードを抽出します。ステガノグラフィーにより、攻撃者は無害に見えるメディアファイル内に悪意のあるコードを埋め込むことができます。

次に、悪意のあるDLLが正当な署名付きアプリケーションを通じてサイドロードされ、攻撃者のコードが信頼できるソフトウェアの保護の下で実行されます。

実行されると、マルウェアは攻撃者が制御するコマンドアンドコントロール（C2）サーバーとの暗号化されたHTTPS通信を確立します。

感染したシステムは、ホスト名、システム構成、環境詳細などのシステムフィンガープリント情報を送信します。

これに応じて、攻撃者は暗号化された指示を配信し、これらはメモリ内で直接復号化および実行され、従来のセキュリティツールによる検出の可能性を減らします。

防御回避と環境チェック

機能を完全に有効化する前に、マルウェアは自動分析システムを回避するためにいくつかの環境検証チェックを実行します。

システムホスト名とユーザー名を検査し、ロケール設定を確認し、通常セキュリティサンドボックスに関連する仮想化アーティファクトをスキャンします。

マルウェアはまた、その活動を公開する可能性のあるデバッグツールと監視ソフトウェアを検索します。これらのチェックに合格した場合、プロセスホローイングとファイルレス技術を使用して追加のペイロードが配信され、最小限のフォレンジックトレースを残すように設計されています。

このキャンペーンの最も危険なコンポーネントの1つは、BlackSantaとして知られるモジュールです。このマルウェアは、セキュリティ防御を無効化するために、Bring Your Own Vulnerable Driver（BYOVD）技術を使用しています。

• アンチウイルスプロセスを終了します。
• エンドポイント検出と応答（EDR）エージェントを無効化します。
• Microsoft Defender保護を弱めます。
• システムログと監視を抑制します。
• セキュリティコンソールからの可視性を削除します。

攻撃で使用されるドライバーはデジタル署名されているため、多くのセキュリティシステムは悪意のある活動を検出するのに苦労しています。

エンドポイント保護を中和した後、マルウェアは侵害されたシステムから貴重なデータの収集を開始します。

これには、暗号資産関連のアーティファクトと、デバイスに保存されている可能性のある機密ファイルが含まれます。収集された情報は暗号化されたチャネルを通じて静かに流出され、攻撃者は即座のアラートをトリガーせずにデータを盗むことができます。

セキュリティ研究者は、キャンペーンが高いレベルの運用成熟度を示していることに注目しています。攻撃は、社会工学、環境を利用した実行、ステガノグラフィーベースのペイロード配信、カーネルレベルのセキュリティバイパスメカニズムなど、複数の高度な技術を組み合わせています。

キャンペーンの主な特徴は次のとおりです：

• HR部門のワークフロー固有のターゲティング。
• マルチステージマルウェア実行チェーン。
• メモリ常駐型ペイロード配信。
• ステガノグラフィーの隠蔽技術。
• 高度なアンチアナライシスおよびサンドボックス回避チェック。

このキャンペーンは、エンタープライズセキュリティ戦略における盲点の拡大を浮き彫りにしています。採用ワークフローは、ルーチンな管理プロセスと見なされることが多いですが、ますます高い価値の攻撃対象になっています。

組織は、従来のフィッシング防御を超えてセキュリティ監視を拡張し、行動監視とドライバーレベルのテレメトリーを組み込む必要があります。

HR部門はセキュリティ認識プログラムにも含まれ、通常は財務またはIT管理チーム向けに予約されているのと同じレベルの防御的コントロールで保護される必要があります。