Группа Lazarus использует Comebacker против аэрокосмических и оборонных секторов
Коротко: по данным недавнего анализа, группа Lazarus развернула целенаправленную шпионскую кампанию против организаций аэрокосмического и оборонного секторов, применяя новый вариант вредоносного ПО Comebacker. Атаки сопровождаются сложной цепочкой доставки через документы .docx с включёнными макросами и используют зашифрованные каналы связи с серверами C&C.
Что произошло
Первые признаки кампании появились после публикации информации о вредоносном домене, связанном с активностью Lazarus. Дальнейший анализ выявил, что злоумышленники целенаправленно маскируют вредоносные документы под официальные материалы авторитетных аэрокосмических и оборонных организаций, чтобы повысить вероятность открытия файлов целями и тем самым обойти психологические барьеры.
«Comebacker функционирует как загрузчик и бэкдор, предназначенный для извлечения и выполнения полезной нагрузки DLL с серверов командования и контроля (C&C).»
Механизм заражения и работа вредоносного ПО
Цепочка заражения в последнем варианте выглядит следующим образом:
- жертва открывает файл .docx и включает макросы;
- встроенный VBA-код запускает многоэтапный процесс выполнения;
- сначала запускается загрузчик первого этапа;
- затем загружается и выполняется загрузчик второго этапа из памяти — что затрудняет детекцию файловыми системами и упрощает скрытное выполнение;
- в конце доставляется полезная нагрузка Comebacker в виде DLL, загружаемой с серверов C&C.
Технические особенности
Ключевые технические детали нового варианта Comebacker:
- коммуникация с серверами C&C зашифрована с использованием AES-128-CBC и дополнительно кодируется с помощью Base64;
- первоначальный beacon содержит закодированные данные, встроенные в строку запроса URL;
- вредоносное ПО проверяет целостность и подлинность загружаемых файлов, сравнивая MD5-хэши с заранее определёнными значениями — это предотвращает выполнение повреждённых или поддельных модулей;
- ранее варианты Comebacker обменивались данными в открытом виде, тогда как новый демонстрирует зашифрованный и более устойчивый к перехвату канал связи.
Инфраструктура и наблюдения
Анализ показал расширение инфраструктуры C&C: обнаружен по крайней мере один дополнительный домен, связанный с операцией. Это указывает на попытки злоумышленников увеличить устойчивость и распределённость своих серверов управления.
Чем это опасно
Активное использование бэкдора Comebacker против аэрокосмических и оборонных организаций подчёркивает несколько рисков:
- высокая вероятность утечки чувствительных данных и интеллектуальной собственности;
- сложность обнаружения из‑за исполнения вторичного загрузчика в памяти и использования шифрования трафика;
- социально-инженерный компонент — атаки маскируются под доверенные документы, что повышает шанс человеческой ошибки.
Рекомендации для целевых организаций
Исходя из характера угрозы, эксперты рекомендуют следующие меры защиты:
- строго запретить выполнение макросов по умолчанию и применять политики, блокирующие макросы в неподписанных документах;
- внедрить EDR/NGAV-решения с возможностью обнаружения выполнения кода в памяти и многоступенчатых загрузчиков;
- мониторить сетевой трафик на признаки шифрованной коммуникации с неизвестными доменами и анализировать подозрительные URL с закодированными параметрами;
- проверять целостность загружаемых файлов, сравнивая хэши и интегрируя контроль целостности в процессы загрузки ПО;
- блокировать известные и подозрительные домены, связанные с инфраструктурой Lazarus, на уровне шлюзов и DNS;
- проводить регулярное обучение сотрудников по фишингу и безопасной работе с вложениями;
- иметь план реагирования на инциденты и процесс быстрой изоляции заражённых систем.
Вывод
Операция Lazarus с использованием нового варианта Comebacker демонстрирует рост технической зрелости и адаптивности злоумышленников. Переход к зашифрованным C&C-коммуникациям, выполнение загрузчиков в памяти и строгие проверки целостности указывают на продвинутую тактику кибершпионажа. Для организаций аэрокосмического и оборонного секторов это сигнал к усилению мер безопасности и постоянной бдительности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



