Sicherheitsforscher von Aryaka haben eine groß angelegte Malware-Kampagne aufgedeckt, die von einem russischsprachigen Bedrohungsakteur über mehr als ein Jahr hinweg durchgeführt wurde. Das Hauptziel: Personalabteilungen von Unternehmen. Die zentrale Waffe ist eine neu identifizierte EDR-Killer-Malware namens BlackSanta, die speziell dafür entwickelt wurde, Endpoint-Security-Lösungen auszuschalten.
Die Angreifer setzen auf eine ausgefeilte Kombination aus Social Engineering und technischen Evasionsmechanismen. Aryaka-Forscher vermuten, dass die Infektionskette über Spear-Phishing-E-Mails beginnt. Den Opfern werden dabei ISO-Dateien zur Verfügung gestellt, die als Lebensläufe getarnt sind und auf Cloud-Speicherdiensten wie Dropbox gehostet werden.
Eine analysierte schädliche ISO-Datei enthielt vier Komponenten: eine als PDF-Datei getarnte Windows-Verknüpfung (.LNK), ein PowerShell-Skript, ein Bild und eine .ICO-Datei. Die Verknüpfung startet PowerShell und führt das Skript aus, das mithilfe von Steganografie in der Bilddatei versteckte Daten extrahiert und direkt im Systemspeicher ausführt.
Das Schadprogramm lädt anschließend ein ZIP-Archiv herunter, das eine legitime SumatraPDF-Anwendung und eine böswillige DLL-Datei (DWrite.dll) enthält. Diese wird mittels DLL-Sideloading-Technik geladen – ein etabliertes Evasions-Verfahren, das die Ausführung von Malware verschleiert.
Zunächst führt die Malware umfangreiche Umgebungsprüfungen durch und ermittelt Systemkonfigurationen. Diese Informationen werden an einen Command-and-Control-Server übermittelt. Das Schadprogramm prüft systematisch auf Sandboxen, virtuelle Maschinen und Debugging-Tools und stoppt seine Ausführung, falls diese erkannt werden. Parallel modifiziert es die Windows-Defender-Einstellungen, um die Sicherheit zu schwächen, und führt Disk-Write-Tests durch.
Die zentrale Komponente ist BlackSanta selbst. Dieses Modul hat eine kritische Funktion: Es deaktiviert Endpoint-Security-Lösungen, bevor weitere Malware-Nutzlasten installiert werden. BlackSanta fügt Ausschlussregeln für ‘.dls’- und ‘.sys’-Dateien in Microsoft Defender hinzu und modifiziert Registrierungswerte, um die Telemetrie und automatische Beispielübermittlung an Microsofts Cloud-Sicherheits-Endpoints zu reduzieren. Das Modul unterdrückt auch Windows-Benachrichtigungen, um Benutzer vom Infektionsgeschehen abzuschotten. Die Kernfunktionalität besteht darin, Sicherheitsprozesse zu beenden.
Aryaka konnte nicht alle Details über die betroffenen Organisationen oder die dahintersteckenden Akteure offenlegen. Auch die finalen Nutzlasten konnten nicht analysiert werden, da der Command-and-Control-Server zum Zeitpunkt der Untersuchung nicht erreichbar war. Allerdings gelang es den Forschern, zusätzliche Infrastruktur-Komponenten zu identifizieren und mehrere IP-Adressen der gleichen Kampagne zu dokumentieren. So wurde erst deutlich, dass diese Operation bereits ein Jahr lang unbemerkt aktiv war.
Während ihrer Recherchen entdeckten die Forscher, dass die Malware auch sogenannte Bring-Your-Own-Driver-Komponenten (BYOD) herunterlud. Dazu gehörten der RogueKiller Antirootkit Driver v3.1.0 von Adlice Software und IObitUnlocker.sys v1.2.0.1 von IObit. Diese Kernel-Treiber werden typischerweise in Malware-Operationen missbraucht, um erweiterte Privilegien zu erlangen und Sicherheitswerkzeuge zu unterdrücken.
Der RogueKiller-Treiber (truesight.sys) ermöglicht die Manipulation von Kernel-Hooks und Speicherüberwachung, während IObitUnlocker.sys das Umgehen von Datei- und Prozesssperren erlaubt. Diese Kombination verschafft den Angreifern tiefgehenden Zugriff auf den Systemspeicher und Prozesse auf Kernel-Ebene.
Aryaka-Forscher charakterisieren den Bedrohungsakteur als Operateur mit starkem Operativen Sicherheitsbewusstsein. Die Infektionsketten sind kontextbewusst, tarnungsoptimiert und zeigen ein hohes Maß an Raffinement bei der Bereitstellung gefährlicher Komponenten wie BlackSanta.