Caccia a Lazarus: All’interno dell’Infrastruttura di Comando e Controllo dell’Intervista Contagiosa
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Red Asgard ha riportato un compromesso nella catena di fornitura legato a un progetto di criptovaluta promosso tramite Upwork, in cui gli operatori di Lazarus hanno inserito codice malevolo nel flusso di lavoro/costruzione. La catena sfrutta l’auto-esecuzione dei task di VSCode, una backdoor Node.js implementata tramite il costruttore Function, e la consegna di payload mediante cookie per recuperare JavaScript malevolo dall’infrastruttura di comando e controllo ospitata da Vercel. Lo stack C2 è suddiviso in domini Vercel di primo stadio e server Windows dedicati di secondo stadio, che forniscono una backdoor Python fortemente offuscata con funzionalità di mining XMRig. La campagna utilizza anche dead drop su Pastebin, un protocollo binario personalizzato e una rigida compartimentazione delle credenziali per complicare l’analisi e la rimozione.
Indagine
I ricercatori hanno enumerato tre domini Vercel che espongono endpoint autenticati con token e hanno identificato cinque sistemi C2 dedicati in esecuzione Express.js on porta 1244. Hanno anche documentato una tecnica a tempo di oracle utilizzata per dedurre o enumerare i token della campagna attivi. Il reverse engineering di un payload offuscato a 64 strati ha rivelato infine un componente infettato che persiste tramite la collocazione nella cartella di Avvio e la creazione di compiti pianificati. Ulteriori risultati includevano credenziali MongoDB hard-coded, circa 1000 URL dead drop su Pastebin e listener di protocollo binario Z238 personalizzato su più porte.
Mitigazione
Blocca le comunicazioni in uscita verso i domini Vercel identificati e limita l’uscita alle porte 1244, 1249 e 22411–22412. Monitora la creazione di Windows Update Script.pyw nei percorsi di Avvio, compiti pianificati denominati “Runtime Broker” e esecuzioni sospette di msedge.exe coerenti con la mascheratura del miner. Rileva processi Node.js che invocano Function.constructor e attività HTTP POST anomale verso endpoint /keys. Riduci l’esposizione disabilitando i task di auto-esecuzione di VSCode e rivedi gli script dei pacchetti prima di eseguire npm install o i passaggi di costruzione in repository non attendibili.
Risposta
Se vengono osservati indicatori, isola il sistema interessato, termina i processi sospetti e conserva la memoria e i reperti su disco per la revisione forense. Revoca eventuali credenziali MongoDB esposte e ruota tutti i segreti service-account pertinenti. Effettua un inventario di account e accessi per identificare gli utenti interessati, quindi reimposta le credenziali e invalida le sessioni/token attivi. Notifica ai responsabili interni e coordina con le forze dell’ordine se ci sono prove di furto di criptovalute o compromessi del portafoglio.
Flusso d’Attacco
Rilevamenti
Possibile Infiltrazione / Esfiltrazione Dati / C2 tramite Servizi / Strumenti di Terze Parti (tramite dns)
Visualizza
Modifiche Sospette alle Preferenze di Windows Defender (tramite powershell)
Visualizza
Binari / Script Sospetti nella Posizione di Autostart (tramite file_event)
Visualizza
File nascosto creato su host Linux (via file_event)
Visualizza
Possibile infiltrazione/esfiltrazione di dati/C2 tramite servizi/strumenti di terze parti (via proxy)
Visualizza
IOC (Email) da rilevare: Hunting Lazarus: All’interno dell’infrastruttura C2 di Contagious Interview
Visualizza
IOC (DestinationIP) da rilevare: Hunting Lazarus: All’interno dell’infrastruttura C2 di Contagious Interview
Visualizza
IOC (SourceIP) da rilevare: Hunting Lazarus: All’interno dell’infrastruttura C2 di Contagious Interview
Visualizza
IOC (HashSha256) da rilevare: Hunting Lazarus: All’interno dell’infrastruttura C2 di Contagious Interview
Visualizza
Funzione getCookie sospetta che scarica JavaScript malevolo dal dominio Vercel [Evento File Windows]
Visualizza
Uso sospetto di Function.constructor in errorHandler.js per RCE su backend [Evento File Windows]
Visualizza
Mascheramento di processi malevoli come RuntimeBroker e XMRig Miner come msedge.exe [Creazione Processo Windows]
Visualizza
Configurazione di Auto-Execuzione malevola in VSCode [Evento File Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: il Telemetry & Baseline Pre‑flight Check deve essere stato superato.
Narrativa dell’Attacco & Comandi
L’avversario copia il legittimo RuntimeBroker.exe binario in una posizione non standard (%TEMP%) per mascherarsi come un processo affidabile evitando il rilevamento basato su percorsi di sistema noti. Eseguendo la copia, l’evento di creazione del processo contiene il nome dell’immagine attesa ma un percorso che non supera il controllo di contenimento ‘System32’, soddisfacendo selection_runtime.
Script di Test di Regressione
# -----------------------------------------------
# TC-20260114-A1B2C – Simulazione di Mascheramento
# -----------------------------------------------
# 1. Definire i percorsi
$src = "$env:SystemRootSystem32RuntimeBroker.exe"
$dest = "$env:TEMPRuntimeBroker.exe"
# 2. Copiare il binario legittimo in una directory non di sistema
Copy-Item -Path $src -Destination $dest -Force
# 3. Eseguire il binario copiato (questo dovrebbe attivare la regola Sigma)
Start-Process -FilePath $dest -WindowStyle Hidden
# 4. OPZIONALE: Simulare lo scenario di mascheramento msedge (miner)
# (Copiare un qualsiasi eseguibile benigno, rinominarlo come msedge.exe, collocarlo in %LOCALAPPDATA%MicrosoftWindowsApplications)
$minerSrc = "$env:SystemRootSystem32notepad.exe"
$minerDest = "$env:LOCALAPPDATAMicrosoftWindowsApplicationsmsedge.exe"
Copy-Item -Path $minerSrc -Destination $minerDest -Force
Start-Process -FilePath $minerDest -WindowStyle Hidden
# -----------------------------------------------
Comandi di Ripulitura
# Rimuovere le copie malevoli
Remove-Item -Path "$env:TEMPRuntimeBroker.exe" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "$env:LOCALAPPDATAMicrosoftWindowsApplicationsmsedge.exe" -Force -ErrorAction SilentlyContinue