En ny analys från Aryaka Threat Research Lab visar hur en avancerad malwarekampanj riktar in sig på HR- och rekryteringsfunktioner i organisationer. Angreppet använder falska CV-filer som spridningsmetod och innehåller ett särskilt verktyg som kan neutralisera endpoint-skydd innan ytterligare skadlig kod installeras.
Enligt rapporten sker den initiala infektionen genom phishing-mejl som innehåller länkar till filer som ser ut att vara legitima meritförteckningar. När filen öppnas startar en flerledad attackkedja som i tysthet komprometterar systemet. Filerna kan exempelvis levereras som ISO-arkiv från molnlagringstjänster och innehåller komponenter som utlöser Powershell-skript och laddar ned ytterligare programkod från angriparstyrda servrar.
En central komponent i attacken är ett verktyg som forskarna kallar BlackSanta, som beskrivs som en så kallad EDR-killer. Den är särskilt utformad för att identifiera och stänga ned säkerhetslösningar på den infekterade datorn innan angriparen distribuerar ytterligare skadeprogram. blacksanta-edr-killer-threat-re…
Analysen visar att verktyget kartlägger aktiva processer och jämför dem med en hårdkodad lista över antivirus- och säkerhetsprogram. Om en matchning hittas försöker malwaret stoppa eller manipulera dessa processer på låg nivå i operativsystemet, vilket minskar möjligheten för säkerhetsverktyg att upptäcka attacken.
Kampanjen använder även ett antal tekniker för att undvika upptäckt. Bland annat kontrollerar malwaret om det körs i virtuella miljöer, sandlådor eller analysverktyg innan det aktiveras fullt ut. Det kan även samla in information om operativsystem, användarkonton och systemkonfiguration innan kommunikationen med angriparens kontrollserver etableras. blacksanta-edr-killer-threat-re…
I vissa fall används också så kallad DLL-sideloading, där en legitim applikation utnyttjas för att ladda en manipulerad systemfil. Dessutom kan kod döljas i bildfiler genom steganografi för att försvåra upptäckt i säkerhetskontroller.
När angriparen har etablerat kontroll över systemet kan ytterligare moduler laddas ned från angriparens infrastruktur. Dessa kan bland annat användas för att samla in och exfiltrera känslig information från den komprometterade miljön. Kommunikation mellan malwaret och kontrollservrarna sker via krypterade HTTPS-förbindelser, vilket ytterligare försvårar upptäckt. blacksanta-edr-killer-threat-re…
Enligt forskarna har infrastrukturen bakom kampanjen varit aktiv i över ett år utan att i stor utsträckning uppmärksammas, vilket tyder på en relativt sofistikerad och uthållig aktör.
Rapporten pekar på att HR- och rekryteringsprocesser kan utgöra en attraktiv attackyta för cyberangripare. Personal inom dessa funktioner hanterar ofta bilagor från externa avsändare, exempelvis CV och portföljer, vilket gör att skadliga filer lättare kan passera initiala kontroller.
Forskarna framhåller därför vikten av säkerhetskontroller även i administrativa processer, exempelvis genom isolerad filanalys, starkare e-postsäkerhet och bättre övervakning av ovanlig nätverkstrafik.
Samtidigt betonar rapporten att kombinationen av social engineering, avancerade undvikandetekniker och verktyg som aktivt neutraliserar säkerhetsprogram visar hur hotbilden mot organisationers endpoint-miljöer fortsätter att utvecklas.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
