Der Angriff beginnt mit einer als Lebenslauf getarnten ISO-Datei, die über typische Bewerbungskanäle verteilt und auf einer vertrauenswürdigen Cloud-Infrastruktur gehostet wird. Das soll Recruiter glauben lassen, die Datei sei unbedenklich. Beim Öffnen führt sie jedoch eine schädliche Verknüpfung (LNK) aus, die die nächste Phase auslöst, ohne sofort Verdacht zu erregen.

Die Verknüpfung startet laut Bericht verschleierte PowerShell-Befehle, die in einer steganografischen Bilddatei versteckte Schadkomponenten extrahieren. Über eine legitime, signierte Anwendung wird anschließend eine schädliche DLL nachgeladen (Sideloading), sodass der Code der Angreifer unter dem Deckmantel vertrauenswürdiger Software läuft.

Vor der vollständigen Ausführung prüft die Malware ihre Umgebung ausgiebig, um Analyseumgebungen zu meiden. Die Prüfungen zielen laut Sood darauf ab, virtuelle Maschinen, Debugger, Sandboxes, Analysewerkzeuge sowie ressourcenarme oder emulierte Systeme zu erkennen.

Erweist sich die Umgebung als echtes System, bringt der Schadcode seine finale Komponente aus: den EDR-Killer BlackSanta. Dieser lädt legitime, aber ausnutzbare Kernel-Treiber — das „vulnerable device" der BYOVD-Technik — um sich tiefen Systemzugriff zu verschaffen.

Sobald BlackSanta aktiv ist, beginnt es, die Schutzmechanismen abzuschalten, auf die Systeme zur Malware-Erkennung angewiesen sind: Es beendet Antiviren-Prozesse, schaltet EDR-Agenten ab, schwächt den Schutz von Microsoft Defender, unterdrückt die Systemprotokollierung und entzieht den Sicherheitskonsolen die Sicht. „Im Ergebnis räumt es vor dem Datenabfluss die Bahn frei", heißt es im Bericht. Da BlackSanta signierte Treiber nutzt, werde die Erkennung deutlich erschwert.

Anschließend können die Angreifer ungestört von den Schutzmechanismen Fuß fassen und sensible Daten an ihren C2-Server zurücksenden. Sood spricht von einer Operation mit „disziplinierter Eindringtechnik" und sieht darin einen „reifen Gegner, der Social Engineering, Living-off-the-Land-Techniken, Steganografie und Kernel-Missbrauch kombiniert, um unauffällige Persistenz und Diebstahl von Zugangsdaten zu erreichen".

HR-Systeme würden in Sicherheitsstrategien häufig übersehen, weil Recruiting-Abläufe als Routine gälten, schreibt Sood. Tatsächlich entwickelten sie sich jedoch rasch zu lohnenden Angriffsflächen. Er rät Sicherheitsteams, dieselben Maßnahmen zur Überwachung, Kontrolle von Anhängen und Härtung der Endgeräte auf HR-Umgebungen anzuwenden, die sonst höherwertigen Systemen vorbehalten sind.

„Organisationen sollten HR-Abläufe mit derselben defensiven Sorgfalt behandeln wie Finanz- und IT-Administrationsfunktionen", sagt Sood gegenüber Dark Reading. Stärkerer Endgeräteschutz auf HR-Systemen, die Überwachung ungewöhnlicher Aktivitäten und mehr Sicherheitsbewusstsein in den Recruiting-Teams könnten die Erfolgswahrscheinlichkeit solcher Angriffe deutlich senken.