一年多來，一個講俄語的威脅行為者鎖定人力資源（HR）部門，投放惡意軟體，該惡意軟體會部署一種名為 BlackSanta 的新型 EDR 終止工具。這場攻擊活動被形容為「複雜精密」，結合社交工程與進階規避技術，以從遭入侵系統中竊取敏感資訊。

目前尚不清楚攻擊的起點為何，但網路與安全解決方案供應商 Aryaka 的研究人員推測，惡意軟體是透過魚叉式網路釣魚電子郵件散布。研究人員認為，目標被引導下載偽裝為履歷的 ISO 映像檔，這些檔案託管於 Dropbox 等雲端儲存服務上。

在分析的一個惡意 ISO 檔中包含四個檔案：一個偽裝成 PDF 檔的 Windows 捷徑檔（.LNK）、一個 PowerShell 指令碼、一個圖片檔和一個 .ICO 檔。
該捷徑會啟動 PowerShell 並執行指令碼，從圖片檔中透過隱寫術（steganography）提取隱藏資料，並在系統記憶體中執行。程式碼還會下載一個 ZIP 壓縮檔，其中包含合法的 SumatraPDF 可執行檔與一個惡意 DLL（DWrite.dll），並利用 DLL sideloading 技術載入該 DLL。
惡意軟體會進行系統指紋識別，並將資訊傳送至命令與控制（C2）伺服器，接著執行廣泛的環境檢查。若偵測到沙箱、虛擬機或除錯工具，則停止執行。它還會修改 Windows Defender 設定以削弱主機安全性，執行磁碟寫入測試，然後從 C2 下載額外的惡意載荷，並透過程序挖空（process hollowing）技術，在合法程序中執行。

BlackSanta EDR 終止工具

該攻擊活動中投放的一個關鍵元件是名為 BlackSanta 的可執行檔，這是一個在部署惡意載荷前使端點安全解決方案失效的模組。BlackSanta 會為 Microsoft Defender 新增「.dls」與「.sys」檔案的排除規則，並修改登錄機碼值以降低遙測與自動樣本提交至 Microsoft 安全雲端端點的機制。

研究報告指出，BlackSanta 亦可抑制 Windows 通知，以減少或完全消除使用者警示。BlackSanta 的核心功能是終止安全程序，其方式包括：

✔  列舉正在執行的程序

✔  將程序名稱與一份大型硬編碼清單中的防毒、EDR、SIEM 與鑑識工具名稱比對

✔  取得相符程序的 PID

✔  使用已載入的驅動程式，在核心層級解除鎖定並終止這些程序

Aryaka 未透露目標組織或幕後威脅行為者的細節，且由於 C2 伺服器在分析時無法連線，研究人員未能取得最終載荷。

研究人員識別出該威脅行為者使用的其他基礎設施，並發現多個與同一活動相關的 IP 位址，從而得知該行動已悄然運行超過一年。透過分析 IP 位址，研究人員發現惡意軟體還下載了「自帶驅動程式」（Bring Your Own Driver, BYOD）元件，包括：

✔  Adlice Software 的 RogueKiller Antirootkit 驅動程式 v3.1.0

✔  IObit 的 IObitUnlocker.sys v1.2.0.1

這些驅動程式曾在其他惡意活動中被使用，以在受害機器上取得高權限並壓制安全工具。

RogueKiller（truesight.sys）允許操控核心鉤子與記憶體監控，而 IObitUnlocker.sys 則可繞過檔案與程序鎖定。兩者結合，使惡意軟體能夠存取系統記憶體與程序的低層級資源。Aryaka 研究人員表示，此攻擊背後的威脅行為者展現出高度營運安全性，並使用具情境感知與隱匿性的感染鏈來部署 BlackSanta EDR等元件。

資料來源：https://www.bleepingcomputer.com/news/security/new-blacksanta-edr-killer-spotted-targeting-hr-departments/