تستهدف حملة BlackSanta الهجمات الإلكترونية سير العمل في الموارد البشرية، مما يبرز الحاجة الملحة لتحسين الأمان في هذه الأنظمة.
تستهدف الجهات الفاعلة الناطقة باللغة الروسية سير العمل في الموارد البشرية (HR) من خلال حملة هجوم تخفي أداة خبيثة داخل ملفات صور ستغانوغرافية، مما يمكنها من تجاوز أنظمة الكشف والاستجابة المؤسسية (EDR).
تعمل حملة التهديد المعروفة باسم ‘BlackSanta’ منذ حوالي عام، حيث تقدم برمجيات خبيثة تحمل نفس الاسم يمكنها تعطيل الحمايات الأمنية على مستوى عميق من النظام، وفقًا لتقرير صادر عن مختبرات تهديد أريكا اليوم، والذي تم مشاركته مع Dark Reading.
يسمح هذا للمهاجمين باستخراج بيانات حساسة من الأنظمة المصابة مع الحفاظ على اتصال HTTPS مع خادم القيادة والتحكم (C2)، “مع فرصة ضئيلة للاكتشاف”، كما يقول أديتيا ك. سود، نائب رئيس هندسة الأمن واستراتيجية الذكاء الاصطناعي في أريكا.
“بعبارات أبسط، BlackSanta هو قاتل EDR يعتمد على الأجهزة الضعيفة التي يجلبها المستخدمون (BYOVD)،” كما يقول سود لـ Dark Reading عن الحمولة النهائية للحملة.
لتحقيق هدفها النهائي، تستهدف الهجمات سير العمل القياسي في الموارد البشرية، حيث يقوم فرق التوظيف بفتح السير الذاتية والمرفقات المرسلة من قبل المتقدمين للوظائف، “مما يخلق نقطة دخول سهلة للمهاجمين”، كما يقول سود. “نظرًا لأن المجندين غالبًا ما يعملون تحت ضغط الوقت، وقد لا تكون أنظمة الموارد البشرية مؤمنة بشكل محكم مثل أجزاء أخرى من المؤسسة، يمكن أن تصبح سير العمل في التوظيف هدفًا جذابًا للتهديدات الإلكترونية.”
تدفق الهجوم الإلكتروني متعدد الخطوات لـ BlackSanta
يبدأ الهجوم بملف صورة قرص مثالي (ISO) يحمل طابع السيرة الذاتية يتم تسليمه عبر قنوات التوظيف التقليدية ومُستضاف على بنية تحتية سحابية موثوقة، بهدف خداع المجندين للاعتقاد بأن الملف آمن. ومع ذلك، عندما يفتح شخص ما الملف، يتم تنفيذ اختصار خبيث (LNK)، مما يؤدي إلى تفعيل المرحلة التالية دون إثارة الشكوك على الفور.
يتم إطلاق أوامر PowerShell مشوشة من خلال الاختصار، تستخرج الحمولة المخفية المدمجة داخل صورة ستغانوغرافية، مما يسمح بتحميل مكتبة DLL خبيثة باستخدام تطبيق موثوق موقّع، وفقًا للتقرير. وهذا يسمح بتشغيل كود المهاجم تحت غطاء برنامج موثوق.
بمجرد تنفيذ البرمجيات الخبيثة، تقوم بإجراء تحقق شامل قبل التنفيذ الكامل لضمان تجنبها لبيئات التحليل الخاضعة للرقابة، كما كتب سود في التقرير. “تركز الفحوصات على تحديد الآلات الافتراضية، وأدوات التصحيح، وبيئات الصناديق الرملية، وأدوات التحليل، والأنظمة ذات الموارد المنخفضة أو المقلدة،” كتب.
معاملة الأهداف كأشرار، وليس كأشخاص طيبين
بمجرد أن يتضح أن البيئة هي نظام شرعي، يقوم الكود الخبيث بنشر حمولته النهائية: قاتل EDR BlackSanta، الذي يقوم بتحميل برامج تشغيل نواة قانونية ولكن قابلة للاستغلال – “OVD” من قدراته BYOVD – للحصول على وصول منخفض المستوى إلى النظام.
ومع تفعيل BlackSanta، يبدأ في تعطيل الحمايات الأمنية التي تعتمد عليها الأنظمة لاكتشاف البرمجيات الخبيثة، بما في ذلك: إنهاء عمليات مكافحة الفيروسات (AV)؛ وإيقاف وكلاء EDR؛ وضعف حماية Microsoft Defender؛ وقمع تسجيل النظام؛ وإزالة الرؤية من لوحات التحكم الأمنية.
“بشكل فعال، يهيئ المهاجم الطريق قبل الاستخراج،” وفقًا للتقرير. “نظرًا لأن برمجيات BlackSanta تستخدم برامج تشغيل موقعة، يصبح الاكتشاف أكثر صعوبة بشكل كبير.”
بمجرد أن يهيئ الأداة الطريق، يحصل المهاجمون على موطئ قدم في النظام من خلال ما أطلق عليه سود “هندسة اقتحام منضبطة.” من هناك، يمكنهم استخراج بيانات حساسة وإرسالها مرة أخرى إلى خادم القيادة والتحكم (C2) دون تدخل من الحمايات الأمنية.
“تعكس هذه العملية خصمًا ناضجًا قادرًا على دمج الهندسة الاجتماعية، وتقنيات العيش على الأرض، والستغانوغرافيا، وإساءة استخدام مستوى النواة لتحقيق استمرارية خفية وسرقة بيانات الاعتماد،” كتب سود.
تحتاج أنظمة الموارد البشرية إلى أمان أفضل
تعتبر أنظمة الموارد البشرية جزءًا غالبًا ما يتم تجاهله من استراتيجيات الأمان، حيث تُعتبر خطوط التوظيف “عمليات روتينية”، كما كتب سود في التقرير. ومع ذلك، أصبحت بسرعة أسطح هجوم ذات قيمة عالية ويجب اعتبارها كذلك في المستقبل، كما قال.
في الواقع، توضح الحملة كيف تستهدف الجهات الفاعلة الهجمات سير العمل التجاري التشغيلي – وخاصة خطوط أنابيب الموارد البشرية – لتجاوز الدفاعات المحيطية وتصعيد الامتيازات. نصح سود فرق الأمان بتطبيق نفس المراقبة، والتحكم في المرفقات، وتقوية نقاط النهاية على بيئات الموارد البشرية التي عادة ما تكون مخصصة للأنظمة ذات القيمة العالية.
“يجب على المؤسسات التعامل مع سير العمل في الموارد البشرية بنفس الصرامة الدفاعية التي تتعامل بها مع وظائف المالية وتكنولوجيا المعلومات،” كما يقول سود لـ Dark Reading. “يمكن أن يقلل تعزيز الحمايات على نقاط النهاية في أنظمة الموارد البشرية، ومراقبة الأنشطة غير العادية، وزيادة الوعي الأمني بين فرق التوظيف بشكل كبير من احتمال نجاح مثل هذه الهجمات.”
لضمان سلامة البيانات وحمايتها، يجب على المؤسسات تعزيز استراتيجيات الأمان في أنظمة الموارد البشرية.
