SOC Prime Bias: Critico

14 Jan 2026 16:37 UTC

Caccia a Lazarus: All’interno dell’Infrastruttura di Comando e Controllo dell’Intervista Contagiosa

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Caccia a Lazarus: All’interno dell’Infrastruttura di Comando e Controllo dell’Intervista Contagiosa
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riepilogo

Red Asgard ha riportato un compromesso nella catena di fornitura legato a un progetto di criptovaluta promosso tramite Upwork, in cui gli operatori di Lazarus hanno inserito codice malevolo nel flusso di lavoro/costruzione. La catena sfrutta l’auto-esecuzione dei task di VSCode, una backdoor Node.js implementata tramite il costruttore Function, e la consegna di payload mediante cookie per recuperare JavaScript malevolo dall’infrastruttura di comando e controllo ospitata da Vercel. Lo stack C2 è suddiviso in domini Vercel di primo stadio e server Windows dedicati di secondo stadio, che forniscono una backdoor Python fortemente offuscata con funzionalità di mining XMRig. La campagna utilizza anche dead drop su Pastebin, un protocollo binario personalizzato e una rigida compartimentazione delle credenziali per complicare l’analisi e la rimozione.

Indagine

I ricercatori hanno enumerato tre domini Vercel che espongono endpoint autenticati con token e hanno identificato cinque sistemi C2 dedicati in esecuzione Express.js on porta 1244. Hanno anche documentato una tecnica a tempo di oracle utilizzata per dedurre o enumerare i token della campagna attivi. Il reverse engineering di un payload offuscato a 64 strati ha rivelato infine un componente infettato che persiste tramite la collocazione nella cartella di Avvio e la creazione di compiti pianificati. Ulteriori risultati includevano credenziali MongoDB hard-coded, circa 1000 URL dead drop su Pastebin e listener di protocollo binario Z238 personalizzato su più porte.

Mitigazione

Blocca le comunicazioni in uscita verso i domini Vercel identificati e limita l’uscita alle porte 1244, 1249 e 22411–22412. Monitora la creazione di Windows Update Script.pyw nei percorsi di Avvio, compiti pianificati denominati “Runtime Broker” e esecuzioni sospette di msedge.exe coerenti con la mascheratura del miner. Rileva processi Node.js che invocano Function.constructor e attività HTTP POST anomale verso endpoint /keys. Riduci l’esposizione disabilitando i task di auto-esecuzione di VSCode e rivedi gli script dei pacchetti prima di eseguire npm install o i passaggi di costruzione in repository non attendibili.

Risposta

Se vengono osservati indicatori, isola il sistema interessato, termina i processi sospetti e conserva la memoria e i reperti su disco per la revisione forense. Revoca eventuali credenziali MongoDB esposte e ruota tutti i segreti service-account pertinenti. Effettua un inventario di account e accessi per identificare gli utenti interessati, quindi reimposta le credenziali e invalida le sessioni/token attivi. Notifica ai responsabili interni e coordina con le forze dell’ordine se ci sono prove di furto di criptovalute o compromessi del portafoglio.

Flusso d’Attacco

Rilevamenti

Possibile Infiltrazione / Esfiltrazione Dati / C2 tramite Servizi / Strumenti di Terze Parti (tramite dns)

Team di SOC Prime
14 gen 2026

Modifiche Sospette alle Preferenze di Windows Defender (tramite powershell)

Team di SOC Prime
14 gen 2026

Binari / Script Sospetti nella Posizione di Autostart (tramite file_event)

Team di SOC Prime
14 gen 2026

File nascosto creato su host Linux (via file_event)

Team di SOC Prime
14 gen 2026

Possibile infiltrazione/esfiltrazione di dati/C2 tramite servizi/strumenti di terze parti (via proxy)

Team di SOC Prime
14 gen 2026

IOC (Email) da rilevare: Hunting Lazarus: All’interno dell’infrastruttura C2 di Contagious Interview

Regole AI di SOC Prime
14 gen 2026

IOC (DestinationIP) da rilevare: Hunting Lazarus: All’interno dell’infrastruttura C2 di Contagious Interview

Regole AI di SOC Prime
14 gen 2026

IOC (SourceIP) da rilevare: Hunting Lazarus: All’interno dell’infrastruttura C2 di Contagious Interview

Regole AI di SOC Prime
14 gen 2026

IOC (HashSha256) da rilevare: Hunting Lazarus: All’interno dell’infrastruttura C2 di Contagious Interview

Regole AI di SOC Prime
14 gen 2026

Funzione getCookie sospetta che scarica JavaScript malevolo dal dominio Vercel [Evento File Windows]

Regole AI di SOC Prime
14 gen 2026

Uso sospetto di Function.constructor in errorHandler.js per RCE su backend [Evento File Windows]

Regole AI di SOC Prime
14 gen 2026

Mascheramento di processi malevoli come RuntimeBroker e XMRig Miner come msedge.exe [Creazione Processo Windows]

Regole AI di SOC Prime
14 gen 2026

Configurazione di Auto-Execuzione malevola in VSCode [Evento File Windows]

Regole AI di SOC Prime
14 gen 2026

Esecuzione della Simulazione

Prerequisito: il Telemetry & Baseline Pre‑flight Check deve essere stato superato.

Narrativa dell’Attacco & Comandi

L’avversario copia il legittimo RuntimeBroker.exe binario in una posizione non standard (%TEMP%) per mascherarsi come un processo affidabile evitando il rilevamento basato su percorsi di sistema noti. Eseguendo la copia, l’evento di creazione del processo contiene il nome dell’immagine attesa ma un percorso che non supera il controllo di contenimento ‘System32’, soddisfacendo selection_runtime.

Script di Test di Regressione

# -----------------------------------------------
# TC-20260114-A1B2C – Simulazione di Mascheramento
# -----------------------------------------------

# 1. Definire i percorsi
$src  = "$env:SystemRootSystem32RuntimeBroker.exe"
$dest = "$env:TEMPRuntimeBroker.exe"

# 2. Copiare il binario legittimo in una directory non di sistema
Copy-Item -Path $src -Destination $dest -Force

# 3. Eseguire il binario copiato (questo dovrebbe attivare la regola Sigma)
Start-Process -FilePath $dest -WindowStyle Hidden

# 4. OPZIONALE: Simulare lo scenario di mascheramento msedge (miner)
#    (Copiare un qualsiasi eseguibile benigno, rinominarlo come msedge.exe, collocarlo in %LOCALAPPDATA%MicrosoftWindowsApplications)
$minerSrc  = "$env:SystemRootSystem32notepad.exe"
$minerDest = "$env:LOCALAPPDATAMicrosoftWindowsApplicationsmsedge.exe"
Copy-Item -Path $minerSrc -Destination $minerDest -Force
Start-Process -FilePath $minerDest -WindowStyle Hidden
# -----------------------------------------------

Comandi di Ripulitura

# Rimuovere le copie malevoli
Remove-Item -Path "$env:TEMPRuntimeBroker.exe" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "$env:LOCALAPPDATAMicrosoftWindowsApplicationsmsedge.exe" -Force -ErrorAction SilentlyContinue