Malware zielt auf HR-Abteilungen und umgeht EDR-Lösungen
Ein russischsprachiger Akteur attackiert seit über einem Jahr gezielt Personalabteilungen mit einer hochentwickelten Malware. Der dabei eingesetzte EDR-Killer "BlackSanta" verbreitet sich über Spear-Phishing und nutzt raffinierte Methoden, um Sicherheitsprodukte auf kompromittierten Systemen auszuhebeln.
Eine seit über einem Jahr laufende Cyberkampagne zielt gezielt auf Personalabteilungen, um mit einer neuen Malware namens "BlackSanta" sensible Daten zu stehlen. Hinter dem Angriff steckt ein russischsprachiger Akteur, wie "Bleeping Computer" unter Berufung auf Sicherheitsforscher des Anbieters Aryaka berichtet.
Dem Bericht zufolge beginnt der Angriff mit Spear-Phishing-Mails, die Opfer zum Download von ISO-Dateien verleiten, die als Lebensläufe getarnt sind. Eine solche Datei enthält eine Kette von Komponenten: Eine als PDF getarnte Windows-Verknüpfung (.LNK) startet ein Powershell-Skript, das wiederum mittels Steganografie versteckten Code aus einer Bilddatei extrahiert und ausführt.
Wie es im Bericht weiter heisst, nutzt der Angreifer im Anschluss die DLL-Sideloading-Technik, wobei eine legitime Anwendung (SumatraPDF) eine bösartige DLL lädt. Die Malware sendet zunächst einen System-Fingerprint an ihren Command-and-Control-Server (C2) und prüft die Umgebung auf Sandboxes oder Debugging-Tools, um einer Analyse zu entgehen. Zudem schwächt sie die Sicherheitseinstellungen von Windows Defender.
Kernstück der Kampagne ist der EDR-Killer "BlackSanta". Dieses Modul deaktiviert gezielt Lösungen für Endpoint Detection & Response (EDR), bevor es die eigentliche Schadsoftware nachlädt. Dazu fügt "BlackSanta" nicht nur Defender-Ausnahmen hinzu und reduziert die Übermittlung von Telemetriedaten, sondern kann auch Windows-Benachrichtigungen unterdrücken. Die Forschenden beschreiben, wie die Malware laufende Prozesse mit einer fest kodierten Liste von Antiviren-, EDR- und SIEM-Tools abgleicht. Anschliessend beendet sie identifizierte Sicherheitsprozesse mithilfe zusätzlich geladener Treiber auf Kernelebene.
Für diese Eskalation setzt der Angreifer auf das "Bring Your Own Driver"-Prinzip (BYOD). Laut dem Bericht lädt die Malware legitime, aber anfällige Treiber von Tools wie "RogueKiller" und "IObitUnlocker" nach. Diese verschaffen der Malware tiefgreifenden Systemzugriff und erlauben es ihr, Prozesssperren zu umgehen. Trotz der Analyse konnten die Forschenden die finale Payload nicht sicherstellen, da der C2-Server offline war. Der Bericht attestiert dem Akteur jedoch eine hohe operative Sicherheit und den Einsatz heimlicher, schwer zu entdeckender Infektionsketten.
Übrigens: Zurzeit missbrauchen Cyberkriminelle die KI-Plattform Hugging Face, um Schadsoftware an Android-Geräte zu verteilen - mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Fintech-Markt setzt auf KI und Konsolidierung
Update: Bundesrat schickt Verordnung für Justitia 4.0 in die Vernehmlassung
Swiss Data Science Center eröffnet Sitz in Lausanne
KI-Agent hackt KI-Plattform von McKinsey
Zattoo macht CCO zur CEO ad interim
Malware zielt auf HR-Abteilungen und umgeht EDR-Lösungen
Der konkrete Nutzen der E-ID und elektronischer Nachweise in der Schweiz
Warum man besser nicht zum Klassentreffen geht
Abraxas baut neue Steuerlösung für Graubünden
