【安全资讯】伪装求职简历的恶意软件攻击：利用ISO镜像文件禁用EDR安全工具

概要：

在当今数字化的招聘流程中，人力资源部门已成为网络攻击者的新目标。近期，一起由俄语黑客组织发起的攻击活动引发关注，攻击者通过伪造的求职简历传播恶意软件，该软件能有效禁用终端检测与响应（EDR）等安全工具，进而窃取敏感数据。这一事件凸显了将非传统IT部门（如HR）纳入严格网络安全防护范畴的紧迫性。

主要内容：

此次攻击活动由Aryaka公司的安全团队详细披露。攻击者将恶意负载伪装成正常的求职简历，并托管在知名的云存储服务上以降低怀疑。当HR人员下载并打开文件时，实际上触发了一个ISO磁盘镜像的挂载。该镜像内含一个快捷方式，能在后台静默执行隐藏命令，从而释放隐藏在图像文件中的恶意软件，这种混淆技术旨在规避安全工具的检测。

攻击的核心恶意组件被命名为“BlackSanta”，其功能被描述为“EDR杀手”。它采用“自带易受攻击驱动程序”（Bring Your Own Vulnerable Driver）的技术，利用存在漏洞的合法内核驱动程序来获取系统深层控制权限。获得权限后，该组件便能终止杀毒进程、禁用EDR代理、削弱Microsoft Defender功能，甚至抑制可能向管理员告警的日志记录，为后续数据窃取扫清障碍。

在成功瘫痪防御系统后，恶意软件转向数据收集阶段，重点搜寻受感染设备上的敏感文件和与加密货币相关的信息。所有窃取的数据均通过加密连接外传。Aryaka的报告指出，攻击者对招聘流程的利用之所以高效，是因为HR团队常需处理大量来自陌生人的文件，且工作节奏快，安全管控通常不如核心IT环境严格，这使其成为理想的初始入侵切入点。