Группа Lazarus использует Comebacker против аэрокосмических и оборонных секторов

Коротко: по данным недавнего анализа, группа Lazarus развернула целенаправленную шпионскую кампанию против организаций аэрокосмического и оборонного секторов, применяя новый вариант вредоносного ПО Comebacker. Атаки сопровождаются сложной цепочкой доставки через документы .docx с включёнными макросами и используют зашифрованные каналы связи с серверами C&C.

Что произошло

Первые признаки кампании появились после публикации информации о вредоносном домене, связанном с активностью Lazarus. Дальнейший анализ выявил, что злоумышленники целенаправленно маскируют вредоносные документы под официальные материалы авторитетных аэрокосмических и оборонных организаций, чтобы повысить вероятность открытия файлов целями и тем самым обойти психологические барьеры.

«Comebacker функционирует как загрузчик и бэкдор, предназначенный для извлечения и выполнения полезной нагрузки DLL с серверов командования и контроля (C&C).»

Механизм заражения и работа вредоносного ПО

Цепочка заражения в последнем варианте выглядит следующим образом:

  • жертва открывает файл .docx и включает макросы;
  • встроенный VBA-код запускает многоэтапный процесс выполнения;
  • сначала запускается загрузчик первого этапа;
  • затем загружается и выполняется загрузчик второго этапа из памяти — что затрудняет детекцию файловыми системами и упрощает скрытное выполнение;
  • в конце доставляется полезная нагрузка Comebacker в виде DLL, загружаемой с серверов C&C.

Технические особенности

Ключевые технические детали нового варианта Comebacker:

  • коммуникация с серверами C&C зашифрована с использованием AES-128-CBC и дополнительно кодируется с помощью Base64;
  • первоначальный beacon содержит закодированные данные, встроенные в строку запроса URL;
  • вредоносное ПО проверяет целостность и подлинность загружаемых файлов, сравнивая MD5-хэши с заранее определёнными значениями — это предотвращает выполнение повреждённых или поддельных модулей;
  • ранее варианты Comebacker обменивались данными в открытом виде, тогда как новый демонстрирует зашифрованный и более устойчивый к перехвату канал связи.

Инфраструктура и наблюдения

Анализ показал расширение инфраструктуры C&C: обнаружен по крайней мере один дополнительный домен, связанный с операцией. Это указывает на попытки злоумышленников увеличить устойчивость и распределённость своих серверов управления.

Чем это опасно

Активное использование бэкдора Comebacker против аэрокосмических и оборонных организаций подчёркивает несколько рисков:

  • высокая вероятность утечки чувствительных данных и интеллектуальной собственности;
  • сложность обнаружения из‑за исполнения вторичного загрузчика в памяти и использования шифрования трафика;
  • социально-инженерный компонент — атаки маскируются под доверенные документы, что повышает шанс человеческой ошибки.

Рекомендации для целевых организаций

Исходя из характера угрозы, эксперты рекомендуют следующие меры защиты:

  • строго запретить выполнение макросов по умолчанию и применять политики, блокирующие макросы в неподписанных документах;
  • внедрить EDR/NGAV-решения с возможностью обнаружения выполнения кода в памяти и многоступенчатых загрузчиков;
  • мониторить сетевой трафик на признаки шифрованной коммуникации с неизвестными доменами и анализировать подозрительные URL с закодированными параметрами;
  • проверять целостность загружаемых файлов, сравнивая хэши и интегрируя контроль целостности в процессы загрузки ПО;
  • блокировать известные и подозрительные домены, связанные с инфраструктурой Lazarus, на уровне шлюзов и DNS;
  • проводить регулярное обучение сотрудников по фишингу и безопасной работе с вложениями;
  • иметь план реагирования на инциденты и процесс быстрой изоляции заражённых систем.

Вывод

Операция Lazarus с использованием нового варианта Comebacker демонстрирует рост технической зрелости и адаптивности злоумышленников. Переход к зашифрованным C&C-коммуникациям, выполнение загрузчиков в памяти и строгие проверки целостности указывают на продвинутую тактику кибершпионажа. Для организаций аэрокосмического и оборонного секторов это сигнал к усилению мер безопасности и постоянной бдительности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: