BlackSanta atakuje działy HR: kampania phishingowa wyłącza EDR i ochronę endpointów

Wprowadzenie do problemu / definicja

BlackSanta to moduł malware określany jako EDR-killer, zaprojektowany do osłabiania lub wyłączania zabezpieczeń endpointów po uzyskaniu początkowego dostępu do systemu. W najnowszej kampanii zagrożenie to zostało wykorzystane przeciwko działom HR i rekrutacji, gdzie codzienna praca z dokumentami od nieznanych nadawców tworzy wyjątkowo podatną powierzchnię ataku.

Atakujący wykorzystują zaufany kontekst biznesowy, podszywając się pod kandydatów do pracy i dostarczając pliki wyglądające jak CV, portfolio lub materiały aplikacyjne. To sprawia, że nawet dobrze znane techniki phishingowe zyskują wyższą skuteczność, szczególnie w środowiskach, gdzie szybkość obsługi zgłoszeń jest równie ważna jak bezpieczeństwo.

W skrócie

Kampania opisana w marcu 2026 roku opiera się na spear phishingu wymierzonym w pracowników HR. Po otwarciu złośliwego pliku malware rozpoczyna rekonesans systemu, sprawdza obecność środowisk analitycznych i mechanizmów wirtualizacji, filtruje ofiary według parametrów językowych oraz geograficznych, a następnie uruchamia moduł BlackSanta odpowiedzialny za neutralizowanie ochrony EDR i AV.

• Atak wykorzystuje fałszywe dokumenty rekrutacyjne i CV.
• Malware analizuje środowisko przed wykonaniem kolejnych działań.
• BlackSanta stosuje technikę BYOVD do ingerencji w ochronę endpointów.
• Celem jest utrzymanie dostępu, kradzież danych i pobieranie dalszych ładunków.

Kontekst / historia

Ataki na działy HR od lat należą do najskuteczniejszych form wejścia do organizacji. Powód jest prosty: pracownicy tych zespołów regularnie odbierają wiadomości spoza firmy, pobierają pliki z usług chmurowych i otwierają dokumenty, które z punktu widzenia procesu biznesowego wyglądają całkowicie wiarygodnie.

W przypadku BlackSanta kluczowe znaczenie ma połączenie klasycznej socjotechniki z działaniami post-exploitation. Kampania nie kończy się na dostarczeniu droppera czy prostego infostealera. Jej istotą jest szybkie osłabienie zabezpieczeń endpointu, aby kolejne etapy ataku mogły przebiegać ciszej, skuteczniej i z mniejszą szansą na wykrycie przez zespół bezpieczeństwa.

To pokazuje szerszy trend w krajobrazie zagrożeń: coraz więcej operacji phishingowych nie ogranicza się do kradzieży poświadczeń, lecz od początku zakłada przejęcie hosta, obejście telemetrii i stworzenie warunków do długotrwałej obecności w środowisku ofiary.

Analiza techniczna

Łańcuch infekcji jest wieloetapowy. Punkt wejścia stanowi wiadomość spear phishingowa kierowana do pracownika HR, zwykle zawierająca odnośnik do pliku przechowywanego w chmurze lub załącznik podszywający się pod dokument aplikacyjny. Ofiara pobiera archiwum, obraz dysku lub inny kontener plików, który wygląda jak standardowy materiał rekrutacyjny.

Po uruchomieniu próbki malware rozpoczyna profilowanie hosta. Zbiera informacje o systemie operacyjnym, użytkowniku, konfiguracji urządzenia i aktywnych procesach. Równolegle sprawdza obecność maszyn wirtualnych, sandboxów i narzędzi debugujących, aby utrudnić analizę i uniknąć detonacji w środowiskach laboratoryjnych.

Istotnym elementem kampanii jest także filtrowanie ofiar. Malware weryfikuje ustawienia językowe, cechy lokalnego środowiska oraz inne parametry systemowe przed przejściem do kolejnej fazy. Tego rodzaju logika pozwala operatorom ograniczać wykonanie ładunku do wybranych celów oraz zmniejszać ryzyko ujawnienia narzędzi.

Najgroźniejszym komponentem pozostaje sam BlackSanta. Moduł działa jako EDR-killer i wykorzystuje podejście BYOVD, czyli Bring Your Own Vulnerable Driver. W praktyce oznacza to użycie podatnego sterownika do wykonywania działań z poziomu jądra systemu. Dzięki temu malware może zyskać możliwość ingerowania w procesy bezpieczeństwa z uprawnieniami wyższymi niż standardowe złośliwe oprogramowanie działające w przestrzeni użytkownika.

Takie podejście umożliwia zatrzymywanie procesów antywirusowych, wyłączanie agentów EDR, osłabianie mechanizmów Microsoft Defender, ograniczanie logowania zdarzeń i zmniejszanie widoczności działań napastnika w narzędziach monitorujących. Po zneutralizowaniu ochrony operatorzy mogą pobierać kolejne ładunki, kraść poświadczenia, zbierać dane z systemu i eksfiltrować informacje do infrastruktury dowodzenia i kontroli.

Konsekwencje / ryzyko

Ryzyko związane z kampanią jest wysokie, ponieważ łączy ona skuteczny pretekst biznesowy z zaawansowanym sabotażem zabezpieczeń endpointu. Już samo otwarcie fałszywego dokumentu może doprowadzić do sytuacji, w której standardowe warstwy ochronne przestaną działać wystarczająco wcześnie, by zatrzymać dalsze etapy ataku.

Dla organizacji oznacza to ryzyko utraty danych osobowych kandydatów i pracowników, wycieku poświadczeń oraz przejęcia stacji roboczych wykorzystywanych do obsługi systemów kadrowych, finansowych i usług SaaS. Jeśli skompromitowany host ma szersze uprawnienia lub dostęp do krytycznych aplikacji, incydent może szybko wyjść poza pojedynczy endpoint i przekształcić się w pełnoskalowe naruszenie bezpieczeństwa.

Dodatkowym zagrożeniem jest utrudniona detekcja. Malware zaprojektowane do unikania analizy i wyłączania telemetryki może pozostawać aktywne przez dłuższy czas, zwiększając koszty reagowania, zakres prac forensycznych oraz prawdopodobieństwo wtórnego wykorzystania skradzionych danych.

Rekomendacje

Organizacje powinny traktować działy HR jako obszar podwyższonego ryzyka i objąć je dodatkowymi kontrolami bezpieczeństwa. Ochrona procesów rekrutacyjnych nie może opierać się wyłącznie na standardowych szkoleniach phishingowych, ponieważ charakter pracy tych zespołów wymaga regularnej interakcji z nieznanymi nadawcami i zewnętrznymi plikami.

• Wdrożyć izolację i skanowanie dokumentów rekrutacyjnych pobieranych z zewnętrznych źródeł.
• Rozszerzyć ochronę poczty o sandboxing załączników, analizę reputacji odnośników i dodatkową kontrolę nietypowych formatów plików.
• Ograniczyć uruchamianie nieautoryzowanych binariów oraz wdrożyć application allowlisting.
• Monitorować próby ładowania podatnych sterowników i anomalie związane z usługami bezpieczeństwa.
• Tworzyć reguły detekcyjne dla sekwencji obejmujących pobranie pliku, montowanie obrazu, rekonesans systemowy i próbę wyłączenia ochrony.
• Wymuszać MFA, segmentację dostępu i zasadę najmniejszych uprawnień dla systemów kadrowych i finansowych.
• Prowadzić szkolenia dopasowane do scenariuszy rekrutacyjnych, a nie wyłącznie ogólne kampanie awareness.

Z perspektywy SOC szczególnie istotne jest wychwytywanie sygnałów sabotażu ochrony, takich jak zatrzymywanie usług bezpieczeństwa, modyfikacje ustawień Defendera, nagłe zaniki telemetryki czy nietypowe operacje na sterownikach. Wczesne wykrycie takich zdarzeń może przesądzić o tym, czy incydent zakończy się na jednym hoście, czy rozprzestrzeni się na inne segmenty środowiska.

Podsumowanie

BlackSanta pokazuje, że współczesne kampanie phishingowe stają się coraz bardziej dojrzałe operacyjnie. W tym przypadku celem nie jest jedynie skłonienie użytkownika do otwarcia pliku, lecz szybkie osłabienie zabezpieczeń EDR i AV, aby umożliwić ciche przejęcie hosta, kradzież danych i dalszą ekspansję w środowisku organizacji.

Dla firm jest to wyraźny sygnał, że procesy rekrutacyjne muszą być chronione równie rygorystycznie jak infrastruktura administracyjna i IT. Skuteczna obrona wymaga połączenia filtracji poczty, kontroli aplikacji, monitorowania sterowników, silnej telemetrii endpointów oraz jasno zdefiniowanych procedur bezpieczeństwa dla zespołów HR.

Źródła

1. BlackSanta EDR-Killer Targets HR Teams in CV-Themed Campaign — https://www.infosecurity-magazine.com/news/blacksanta-edr-killer-targets-hr/
2. BlackSanta EDR-Killer: A Silent Malware Campaign Targeting Recruitment Workflows And Neutralizing Endpoint Security — https://www.aryaka.com/reports-and-guides/blacksanta-edr-killer-threat-report/
3. ‘BlackSanta’ Malware Activates EDR and AV Killer Before Detonating Payload — https://www.securityweek.com/blacksanta-malware-activates-edr-and-av-killer-before-detonating-payload/
4. ’BlackSanta’ EDR Killer Targets HR Workflows — https://www.darkreading.com/threat-intelligence/blacksanta-edr-killer-hr-workflows
5. New ‘BlackSanta’ EDR killer spotted targeting HR departments — https://www.bleepingcomputer.com/news/security/new-blacksanta-edr-killer-spotted-targeting-hr-departments/