Opération BlackSanta : une menace furtive visant les processus RH

Vecteur d’attaque initial

Le vecteur d’attaque initial exploite le contexte opérationnel des services RH. Les messages d’hameçonnage ciblent des liens menant à des fichiers ISO stockés sur des services cloud. Ces archives portent des noms évocateurs mimant le format standard des dossiers de candidats. À l’intérieur de ces fichiers ISO, un raccourci (.lnk) reprenant le même nom cache son extension et expose un rassurant .pdf.

Mais l’extension PDF n’est qu’un leurre ; le raccourci déclenche une exécution de PowerShell via « cmd.exe ». Le script initial utilise la stéganographie au sein d’une image pour extraire et exécuter du code directement en mémoire. Cette étape de chargement indirect permet de récupérer une archive contenant une charge utile, depuis des domaines malveillants.

Le point critique de la campagne repose sur la technique de DLL Sideloading. L’archive récupérée contient l’exécutable légitime de SumatraPDF et une bibliothèque malveillante. L’exécutable officiel, conçu pour charger des bibliothèques système, est manipulé pour charger la version corrompue depuis le même répertoire. Comme l’analyse technique le confirme, « en plaçant une version altérée de DWrite.dll dans le même dossier, l’application légitime est conduite à charger la librairie malveillante au lieu de la légitime ». Cette méthode contourne les contrôles d’intégrité sans altérer le binaire principal, rendant l’opération moins détectable par les bases de signature traditionnelles.

Furtivité et évasion aux EDR

Avant toute action malveillante, la DLL effectue une reconnaissance approfondie pour déterminer si l’environnement est contrôlé. Le maliciel vérifie la présence d’émulateurs, de machines virtuelles, de débogueurs ou de régions géographiques spécifiques. S’il se découvre dans un tel environnement où il serait observé, le maliciel met un terme à son exécution.

Une fois l’environnement validé comme « sain », le maliciel communique avec le serveur de commande et de contrôle (C2) via HTTPS. Le serveur renvoie des clés cryptographiques dynamiques, permettant au maliciel de décrypter ses chaînes de caractères à l’exécution, rendant l’analyse statique quasi impossible.

Le module BlackSanta agit comme un énième « EDR-Killer ». Sa fonction principale est de désactiver les contrôles de sécurité des serveurs et terminaux. Pour ce faire, le maliciel utilise la technique bien connue dite de « Bring Your Own Vulnerable Driver » (BYOVD) : il télécharge et charge des pilotes vulnérables et légitimes, tels que les pilotes RogueKiller Antirootkit et IObitUnlocker.sys.

Ces pilotes permettent au code malveillant d’accéder au noyau avec des privilèges élevés. De là, BlackSanta termine les processus de sécurité connus (antivirus, EDR) en les bloquant au niveau du noyau. Aryaka détaille une liste de processus visés incluant « antivirus, 
agents EDR, collecteurs de SIEM, services de supervision de la sécurité, et utilitaires de diagnostic ». Il modifie ensuite les clés de registre pour désactiver la protection cloud de Windows Defender et désactive les vérifications d’intégrité de code (HVCI) pour permettre le chargement de pilotes non signés.