2026-03-13 00:26:03 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 讲俄语威胁行为者利用新型BlackSanta恶意软件针对HR部门发起攻击，该活动已秘密运行一年。攻击者通过鱼叉式钓鱼投递伪装简历的ISO文件，利用LNK与PowerShell结合隐写术释放载荷，并使用DLL侧加载技术执行。BlackSanta作为核心组件，通过加载RogueKiller等合法驱动在内核层强制终止EDR及杀毒进程，同时禁用系统遥测与通知以规避检测。该恶意软件具备极强的环境感知与反调试能力，展示了高级的规避技术与隐蔽感染链。 综合评分： 78 文章分类： 恶意软件,威胁情报,免杀,终端安全,社会工程学

cover_image

新型“BlackSanta”EDR杀手现身，瞄准人力资源部门

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月11日 12:30 北京

一年多以来，一名讲俄语的威胁行为者利用恶意软件攻击人力资源 (HR) 部门，该恶意软件会传播一种名为 BlackSanta 的新型 EDR 杀手。

该攻击活动被形容为“老练复杂”，它将社会工程学与先进的规避技术相结合，从被入侵的系统中窃取敏感信息。

目前尚不清楚攻击是如何开始的，但网络和安全解决方案提供商 Aryaka 的研究人员怀疑，该恶意软件是通过鱼叉式网络钓鱼电子邮件传播的。

他们认为，目标用户会被引导下载伪装成简历的 ISO 镜像文件，这些文件托管在 Dropbox 等云存储服务上。

分析的一个恶意 ISO 文件包含四个文件：一个伪装成 PDF 文件的 Windows 快捷方式 (.LNK)、一个 PowerShell 脚本、一个图像和一个 .ICO 文件。

ISO 文件内容

该快捷方式启动 PowerShell 并执行脚本，该脚本使用隐写术提取隐藏在图像文件中的数据，并在系统内存中执行该数据。

该代码还会下载一个 ZIP 压缩包，其中包含合法的 SumatraPDF 可执行文件和恶意 DLL (DWrite.dll)，并使用 DLL 侧加载技术加载该 DLL。

解密后的 PowerShell 脚本

该恶意软件会执行系统指纹识别并将信息发送到命令与控制 (C2) 服务器，然后执行广泛的环境检查，如果检测到沙箱、虚拟机或调试工具，则会停止执行。

它还会修改 Windows Defender 设置以削弱主机的安全性，执行磁盘写入测试，然后从 C2 下载额外的有效载荷，这些有效载荷通过进程空心化在合法进程内执行。

BlackSanta EDR杀手

此次攻击活动的关键组件是一个名为 BlackSanta EDR killer 的可执行文件，该模块会在部署恶意载荷之前使端点安全解决方案失效。

BlackSanta 为“.dls”和“.sys”文件添加了 Microsoft Defender 排除项，并修改了注册表值，以减少向 Microsoft 安全云端点发送遥测数据和自动样本提交。

研究人员的报告（PDF）指出，BlackSanta 还可以抑制 Windows 通知，从而最大限度地减少或完全屏蔽用户警报。BlackSanta 的核心功能是终止安全进程，其实现方式如下：

枚举正在运行的进程
将这些名称与一个庞大的硬编码防病毒、EDR、SIEM 和取证工具列表进行比对。
检索匹配的进程 ID
使用已加载的驱动程序在内核级别解锁并终止这些进程。

部分硬编码列表

Aryaka 没有透露有关目标组织或幕后威胁行为者的详细信息，也无法检索在观察到的案例中使用的最终有效载荷，因为在他们进行检查时 C2 服务器不可用。

研究人员识别出了同一威胁行为者使用的其他基础设施，并发现了与同一攻击活动相关的多个IP地址。由此，他们了解到该攻击行动已秘密运行了一年之久。

通过查看 IP 地址，研究人员发现该恶意软件还下载了自带驱动程序 (BYOD) 组件，其中包括来自 Adlice Software 的 RogueKiller Antirootkit 驱动程序 v3.1.0 和来自 IObit 的 IObitUnlocker.sys v1.2.0.1。

这些驱动程序已被用于恶意软件操作（1、2 ），以获取受感染机器上的更高权限并抑制安全工具。

RogueKiller（truesight.sys）允许操纵内核钩子和进行内存监控，而IObitUnlocker.sys允许绕过文件和进程锁。这种组合使恶意软件能够对系统内存和进程进行底层访问。

Aryaka 研究人员表示，此次攻击活动背后的威胁行为者展现了强大的操作安全性，并使用上下文感知、隐蔽的感染链来部署 BlackSanta EDR 等组件。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿网络安全9527 网络安全9527《新型“BlackSanta”EDR杀手现身，瞄准人力资源部门》