Wie das Opfer zum Download der schädlichen ISO bewegt wird, kann Aryaka nicht belegen, vermutet aber gezieltes Spear-Phishing. Trifft es einen Beschäftigten der Personalabteilung, fällt der Köder besonders leicht: Ein scheinbar erwarteter Lebenslauf innerhalb der eingebundenen ISO weckt kaum Misstrauen und wird eher geöffnet.

Im untersuchten Beispiel enthält die ISO vier unscheinbar wirkende Dateien. Einem Sicherheitsanalysten würden eine nur 3 KB große PDF-Datei und ein PowerShell-Skript sofort verdächtig vorkommen, einem HR-Mitarbeiter dagegen möglicherweise nicht. Bei der PDF handelt es sich um eine Verknüpfungsdatei, die cmd.com startet. Laut dem Bericht führt sie einen verschleierten Befehl aus, der dynamisch powershell.exe mit verstecktem Fenster und umgangener Ausführungsrichtlinie aufbaut und startet. Am Ende läuft das Skript script.ps1 aus der eingebundenen ISO.

Das Skript kopiert die enthaltene PNG-Datei, lädt sie und extrahiert mittels LSB-Steganografie (Least Significant Bit) verborgene Daten aus dem Bild. Diese werden zu einer UTF-8-Zeichenkette dekodiert, die ein weiteres PowerShell-Skript darstellt und per Invoke-Expression im Arbeitsspeicher ausgeführt wird.

Der nächste Schritt lädt SumatraPDF.zip von einer externen Domain herunter und entpackt das Archiv in einen temporären Ordner. Es enthält zwei Dateien: SumatraPDF.exe und DWrite.dll. Die ausführbare Datei lädt die manipulierte Version der DLL, die als echt akzeptiert wird. Per DLL-Sideloading sammelt die manipulierte Bibliothek grundlegende Systeminformationen sowie Benutzer- und Hostkontext, indem sie die Umgebungsvariablen USERNAME und COMPUTERNAME ausliest und daraus eine eindeutige Kennung bildet.

Weitere Schadkomponenten liefert der Command-and-Control-Server nach. Zunächst bereitet die Malware die Umgebung vor: Sie bricht ab, wenn sie eine russische oder GUS-Sprache beziehungsweise -Lokalisierung erkennt, beendet sich beim Auffinden eines Debuggers, erzeugt bei einer Sandbox Störsignale und Verzögerungen und verändert Registry-Schlüssel von Windows Defender.

Anschließend wird BlackSanta injiziert, das Aryaka als eigenständige, auf der BYOVD-Technik basierende Komponente beschreibt. Laut dem Bericht zählt BlackSanta die laufenden Prozesse auf und vergleicht jeden Namen mit einer fest hinterlegten Liste von Antiviren- und EDR-Programmen. Bei einer Übereinstimmung ermittelt es die Prozess-ID und nutzt geladene Treiber, um den Zielprozess auf Kernel-Ebene freizugeben und zu beenden, womit es übliche Schutzmechanismen umgeht.

Nach Angaben von Aryaka ist die Kampagne seit etwa einem Jahr weitgehend unbemerkt aktiv und greift dabei Daten sowie Kryptowährungs-Artefakte ab. „Das ist keine opportunistische Malware“, sagt Sood. „Es ist operativ disziplinierte Eindringtechnik.“ Die Operation zeuge von einem ausgereiften Gegner, der Social Engineering, Living-off-the-Land-Techniken, Steganografie und Kernel-Missbrauch kombiniere, um unauffällig dauerhaften Zugriff und den Diebstahl von Zugangsdaten zu erreichen.