Malware ‘BlackSanta’ Ditemukan Menargetkan Departemen HR dan Menonaktifkan Sistem Keamanan
Peneliti keamanan siber menemukan kampanye serangan baru yang menargetkan departemen sumber daya manusia (HR) dengan malware canggih yang membawa modul penghancur sistem keamanan endpoint bernama BlackSanta.
Serangan ini diyakini telah berlangsung selama lebih dari satu tahun dan dikaitkan dengan aktor ancaman berbahasa Rusia. Kampanye tersebut menggabungkan teknik rekayasa sosial dengan metode penghindaran deteksi tingkat lanjut untuk mencuri informasi sensitif dari sistem korban.
Diduga Disebarkan Melalui Email Phishing
Menurut analisis peneliti dari perusahaan keamanan jaringan Aryaka, serangan kemungkinan dimulai melalui spear-phishing email yang menargetkan staf HR.
Dalam skenario yang ditemukan, korban diarahkan untuk mengunduh file ISO yang tampak seperti berkas lamaran kerja atau CV kandidat. File tersebut biasanya disimpan pada layanan penyimpanan cloud seperti Dropbox agar terlihat lebih meyakinkan.
Salah satu file ISO berbahaya yang dianalisis berisi empat komponen utama:
- File shortcut Windows (.LNK) yang disamarkan sebagai dokumen PDF
- Script PowerShell
- File gambar
- File ikon .ICO
Saat shortcut dijalankan, PowerShell akan aktif dan mengeksekusi script yang mengekstrak data tersembunyi dalam file gambar menggunakan teknik steganografi. Payload kemudian dijalankan langsung di memori sistem untuk menghindari deteksi.
Memanfaatkan Teknik DLL Sideloading
Script tersebut juga mengunduh arsip ZIP yang berisi aplikasi sah SumatraPDF dan file DLL berbahaya (DWrite.dll).
Dengan teknik DLL sideloading, file DLL berbahaya akan dimuat oleh aplikasi yang sah sehingga malware dapat dijalankan tanpa memicu alarm keamanan.
Setelah aktif, malware melakukan proses fingerprinting sistem untuk mengumpulkan informasi perangkat korban dan mengirimkannya ke server command-and-control (C2).
Malware juga melakukan pemeriksaan lingkungan untuk mendeteksi apakah sistem sedang dianalisis menggunakan sandbox, mesin virtual, atau alat debugging. Jika kondisi tersebut terdeteksi, malware akan menghentikan eksekusi.
Melemahkan Windows Defender
Sebelum menjalankan payload tambahan, malware memodifikasi konfigurasi Windows Defender untuk melemahkan perlindungan sistem.
Selain itu, malware melakukan berbagai pengujian disk serta mengunduh komponen tambahan dari server C2 yang kemudian dijalankan melalui teknik process hollowing di dalam proses Windows yang sah.
Modul BlackSanta Menonaktifkan EDR
Salah satu komponen utama dalam kampanye ini adalah BlackSanta, sebuah modul yang dirancang untuk menonaktifkan sistem keamanan endpoint sebelum malware utama dijalankan.
BlackSanta bekerja dengan:
- Menambahkan pengecualian pada Microsoft Defender untuk file .dls dan .sys
- Mengubah pengaturan registry untuk menurunkan tingkat telemetri dan pelaporan keamanan
- Menonaktifkan notifikasi keamanan Windows agar pengguna tidak menerima peringatan
Fungsi utama modul ini adalah menghentikan proses keamanan dengan cara:
- Mengidentifikasi proses yang sedang berjalan
- Membandingkannya dengan daftar panjang proses antivirus, EDR, SIEM, dan alat forensik yang tertanam dalam kode
- Mengambil Process ID dari target
- Menggunakan driver kernel untuk membuka kunci dan menghentikan proses tersebut
Memanfaatkan Driver untuk Hak Akses Tinggi
Peneliti juga menemukan bahwa malware ini memanfaatkan teknik Bring Your Own Driver (BYOD) untuk memperoleh hak akses tingkat kernel.
Beberapa driver yang digunakan antara lain:
- RogueKiller Antirootkit driver v3.1.0 dari Adlice Software
- IObitUnlocker.sys v1.2.0.1 dari IObit
Driver RogueKiller memungkinkan manipulasi hook kernel dan pemantauan memori, sedangkan IObitUnlocker dapat melewati kunci file dan proses.
Kombinasi keduanya memberikan malware kemampuan akses tingkat rendah terhadap memori sistem dan proses yang berjalan.
Operasi Berjalan Diam-diam Selama Setahun
Peneliti Aryaka menyatakan bahwa pelaku di balik kampanye ini memiliki tingkat operational security yang tinggi.
Serangan dirancang dengan rantai infeksi yang sangat tersembunyi dan berbasis konteks, sehingga malware dapat beroperasi dalam jangka panjang tanpa terdeteksi.
Selama investigasi, peneliti juga menemukan beberapa alamat IP tambahan yang terkait dengan infrastruktur serangan yang sama, yang mengindikasikan bahwa operasi ini telah berlangsung secara diam-diam selama lebih dari satu tahun.
