【安全资讯】新型“BlackSanta”EDR杀手恶意软件瞄准人力资源部门

概要：

网络安全领域再次出现高度复杂的定向攻击活动。一个俄语威胁行为体在过去一年多的时间里，持续针对企业人力资源部门，部署一种名为“BlackSanta”的新型EDR（端点检测与响应）杀手恶意软件。该活动结合了社会工程学与高级规避技术，旨在窃取敏感信息，其隐蔽性和破坏性对全球企业，尤其是依赖人力资源数据的组织构成了严重威胁。

主要内容：

该攻击活动始于鱼叉式钓鱼邮件，诱使目标从Dropbox等云存储服务下载伪装成简历的ISO镜像文件。ISO内含恶意LNK快捷方式，触发PowerShell脚本执行。脚本利用隐写术从图像文件中提取隐藏数据在内存中运行，并通过DLL侧加载技术加载恶意DLL。

恶意软件会进行系统指纹识别并上报C2服务器，同时执行严格的环境检查以规避沙箱、虚拟机或调试工具。它还会修改Windows Defender设置以削弱主机安全，并通过进程镂空技术在合法进程内执行后续载荷。

其核心组件“BlackSanta”是一个EDR杀手模块，通过在内核级枚举并终止一个庞大的硬编码安全进程列表（包括杀毒软件、EDR、SIEM和取证工具），来使端点安全解决方案失效。它还通过添加Microsoft Defender排除项和修改注册表来减少遥测数据上报。

攻击者还使用了“自带驱动”组件，如RogueKiller和IObitUnlocker驱动，以获取系统高权限、绕过文件进程锁并操纵内核钩子，从而实现对系统内存和进程的低层级访问。该活动基础设施显示其已隐秘运行超过一年，展现了攻击者强大的操作安全能力和隐蔽的感染链设计。