Предположительно русскоязычная группировка рассылает HR-специалистам поддельные резюме с вредоносной начинкой. Исследовательская лаборатория Aryaka опубликовала 10 марта 2026 года отчёт о кампании BlackSanta, в которой злоумышленники используют облачные хранилища (Dropbox и аналоги) для распространения вредоносных файлов. По данным Aryaka, группировка действует более года.
Атака начинается с письма специалисту по подбору персонала. В нём ссылка на облачное хранилище, где лежит ISO-файл (образ диска), замаскированный под резюме. В одной из задокументированных атак файл назывался Celine_Pesant. Жертва подключает образ диска, открывает содержимое, и внутри срабатывает вредоносный ярлык (LNK).
Читайте также: Утечка данных сотрудников Минфина Испании с номерами удостоверений, банковскими реквизитами и телефонами
Ярлык запускает скрытые команды PowerShell. Они извлекают вредоносный код из обычной на вид картинки через стеганографию (приём сокрытия данных внутри изображения), и антивирусы не видят угрозы в графическом файле. Далее загружается вредоносная DLL-библиотека через подмену в штатном подписанном приложении (DLL sideloading).
Перед активацией вредоносная программа тщательно проверяет среду. Изучает имя компьютера, региональные настройки, ищет признаки виртуализации и отладочных инструментов. Если обнаруживает песочницу (защищённую тестовую среду ИБ-аналитиков), остаётся неактивной.
Самый заметный компонент кампании называется BlackSanta. Он отключает антивирусы и системы защиты рабочих станций EDR (Endpoint Detection and Response, инструменты обнаружения и реагирования на угрозы) на уровне ядра Windows. Для этого используется приём BYOVD (Bring Your Own Vulnerable Driver). Злоумышленник загружает в систему старый, но подписанный производителем драйвер с известной уязвимостью и через него получает доступ к ядру ОС.
Читайте также: Обзор уязвимостей за 10 марта 2026: внедрение кода в ingress-nginx, семь уязвимостей модемов Unisoc и выполнение команд в Budibase
После этого BlackSanta завершает процессы антивирусов, отключает агенты EDR, ослабляет Microsoft Defender и подавляет системное журналирование. Поскольку драйвер имеет подпись производителя, защитное ПО не воспринимает его как угрозу. С выключенной защитой вредоносная программа собирает криптовалютные кошельки и персональные данные сотрудников, а затем выгружает всё по зашифрованному каналу.
Aditya K Sood, вице-президент по разработке безопасности Aryaka, описал кампанию в техническом отчёте. По его оценке, за BlackSanta стоит зрелый противник, сочетающий социальную инженерию, использование штатных инструментов ОС и манипуляции на уровне ядра.
Приём BYOVD набирает популярность среди злоумышленников. В 2024 году группировка RansomHub применяла инструмент EDRKillShifter с тем же принципом для обхода защиты перед запуском шифровальщика. Sophos в том же году описала кампанию с загрузкой уязвимых драйверов Avast для нейтрализации EDR. Microsoft ведёт список заблокированных уязвимых драйверов (Vulnerable Driver Blocklist), но по умолчанию он включён не на всех системах Windows.
Читайте также: ИИ-агенты вычисляют владельцев анонимных аккаунтов с точностью 68% за $1-4 на человека
Атаки через поддельные резюме тоже не новы. В 2023 году группировка TA4557 (по классификации Proofpoint) атаковала специалистов по подбору персонала, через поддельные сайты с резюме, загружавшие программу удаленного доступа More_Eggs. В 2024 году Lazarus Group (она же APT38, Hidden Cobra) рассылала разработчикам фальшивые предложения работы (операция DreamJob). BlackSanta отличается от обеих кампаний тем, что сочетает атаку на HR с отключением защиты на уровне ядра.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
