人事採用スタッフを標的とした新しいマルウェアキャンペーンで、攻撃者は求人応募に見せかけた悪意あるファイルを配布しています。
Aryaka脅威研究所によって明らかにされたこの操作は、BlackSantaとして知られる特殊なツールを使用して、デバイスが侵害された後、エンドポイント検出・応答(EDR)システムを無効化します。
このキャンペーンは主に、履歴書として提示されたファイルへのリンクを含むフィッシングメールを通じて広がります。開かれると、ファイルは被害者のシステムにマルウェアを静かに展開する多段階の感染プロセスをトリガーします。研究者たちは、この攻撃チェーンが、追加ペイロードを起動する前に脅威アクターが詳細なシステム情報を収集することを可能にすると述べました。
Aryakaの分析によると、この操作の背後にあるグループはロシア語話者である可能性が高いです。
履歴書と正規文書の詐称
キャンペーンで使用される悪意あるファイルは、通常、履歴書などの正規文書を模倣します。ダウンロードして実行されると、マルウェアはシステムをプロファイルしてセキュリティ監視を回避するように設計された一連のアクションを開始します。
攻撃で観察された主要な動作は以下の通りです:
-
オペレーティングシステムとユーザーデータを収集するためのシステムリコネッサンス
-
仮想マシン、サンドボックス、デバッグツールのチェック
-
制限されたリージョンでの実行を避けるための地理的フィルタリング
-
アンチウイルスおよびEDRセキュリティコントロールを無効化する試み
-
初期侵害後の追加の悪意あるペイロードのダウンロード
これらのステップにより、攻撃者は検出される可能性を減らしながらアクセスを維持できます。
採用ワークフローの悪用
キャンペーンの中心的な要素はBlackSantaモジュール自体です。このコンポーネントはEDR-killerとして機能し、悪意のあるアクティビティをブロックする可能性があるセキュリティソフトウェアを無効化しようとします。
Aryaka脅威研究所のレポートによれば、マルウェアはさらなるアクションを実行する前に、システム言語、ホスト名、および実行中のプロセスのチェックも実行します。
エンドポイント検出・応答セキュリティについて詳しく読む:検出トラップからの脱出:EDRは誤った安心感を与えていないか?
Aryakaは、採用チームが特に脆弱である可能性があることを警告しました。なぜなら、日々のタスクに添付ファイルを開き、候補者文書をダウンロードすることが含まれるからです。攻撃者はこのルーチン行動を利用して、悪意のあるペイロードを正規のアプリケーションに見せかけます。
「このキャンペーンが暗号化された通信を維持しながら機密情報を流出させる能力は、その持続性と標的組織に与えるリスクの両方を強調しています」と研究者は述べました。
「過去1年間、このマルウェアはほぼ検出されないまま動作し、脅威アクターが採用した計画、精度、および技術的能力のレベルを示しています。」
疑わしいダウンロードの改善された監視と強力なエンドポイント保護により、組織は侵入プロセスの早い段階で同様の攻撃を検出するのに役立つ可能性があります。
翻訳元: https://www.infosecurity-magazine.com/news/blacksanta-edr-killer-targets-hr/
