- ロシアのハッカーがBlackSantaマルウェアでHR部門を標的
- 感染チェーンはフィッシングメールと悪質なISOファイルを使用
- BlackSantaはEDRツールを無効化してさらに深い侵害を可能にする
ロシアのハッカーが、BlackSantaと呼ばれる前例のないマルウェアで、世界中の様々な組織のHR部門を標的にしてきました。
このキャンペーンはサイバーセキュリティ研究者のAryakaが発見しました。彼らは、攻撃が少なくとも1年間続いており、かなり高度な感染チェーンが含まれていると述べています。
それはほとんどの場合、潜在的な従業員の履歴書を共有するふりをしたフィッシングメールで始まり、ISOイメージを保持するDropboxフォルダへのリンクが含まれています。これらのファイルは光学ディスクのクローンで、USBドライブがより手頃な価格になるまでの2000年代初期にはかなり人気がありました。ただし、これらの日は詐欺以外ではほとんど使用されないため、重大な危険信号と見なされます。
記事は下に続きます
EDRキラー
それでも、詐欺に気付かずISOをダウンロードして抽出した人は、ショートカットファイルとPowerShellスクリプトを含む複数のファイルを取得します。スクリプトは悪質なDLLファイルと正規のPDFリーダーをダウンロードし、これはDLLのサイドロードに使用されます。
その後、DLLはまずシステムがサンドボックス環境または仮想マシンで実行されているかどうかをスキャンします。マシンがさらなる感染に値すると判断された場合、BlackSantaを含む追加のペイロードをダウンロードします。
このマルウェアは「EDRキラー」と説明されています。つまり、さらなるペイロードの展開を許可する前にエンドポイント検出とレスポンスツールを終了させるということです。
また、ターゲットデバイスで見つかったEDRソリューションのタイプに応じて、異なることを行うことができます。たとえば、OSが進行中の攻撃についてユーザーに警告しようとしている場合でも、Windows通知を抑制して実行を続けることができます。
Aryakaは、攻撃者が野生で発見されたと述べていますが、何組織が攻撃されたか、または実際に被害を受けたかについては述べていません。また、攻撃者の身元についても議論しませんでしたが、MOから判断すると、より一般的な国家支援グループのいずれかではないようです。
そしてもちろん、ニュース、レビュー、ビデオ形式でのアンボックスについてTikTokでTechRadarをフォローし、WhatsAppからも定期的に更新を受け取ることができます。
