SOC Prime Bias: Критичний

14 Jan 2026 16:37 UTC

Полювання на Лазаря: Всередині Інфраструктури C2 Contagious Interview

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Полювання на Лазаря: Всередині Інфраструктури C2 Contagious Interview
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Red Asgard повідомив про компрометацію ланцюга поставок, пов’язану з криптовалютним проектом, що просувається через Upwork, де оператори Lazarus вбудовували шкідливий код в процес збірки/робочий процес. Ланцюг зловживає автоматичним виконанням завдань VSCode, бекдором Node.js, реалізованим через конструктор Function, і поставкою payload, охопленою кукі, щоб отримувати шкідливий JavaScript з інфраструктури командування і контролю, розміщеної на Vercel. Стек C2 поділяється на верселеві домени першого етапу і спеціальні сервери Windows другого етапу, які доставляють сильно обфусцирований Python бекдор з функціональністю майнінгу XMRig. Кампанія також використовує Pastebin для дропа, користувацький двійковий протокол і сувору ізоляцію облікових даних для ускладнення аналізу і ліквідації.

Розслідування

Дослідники перерахували три верселеві домени, що відкривають токен-аутентифіковані ендпоінти, і визначили п’ять спеціальних C2 систем, що працюють на Express.js on порт 1244. Вони також задокументували техніку таймінг-оракул для визначення або перерахування активних токенів кампанії. Зворотне інженерування 64-шаровий обфусцирований пейлоад в кінцевому підсумку виявило тройований компонент, що зберігається через розміщення в папці Startup і створення запланованих завдань. Додаткові знахідки включали вбудовані облікові дані MongoDB, приблизно 1,000 URL-адрес дропа Pastebin і користувальницькі прослуховувачі двійкового протоколу Z238 на кількох портах.

Пом’якшення

Заблокуйте вихідні комунікації до вказаних верселевих доменів і обмежте егресс до портів 1244, 1249 і 22411–22412. Моніторьте створення Windows Update Script.pyw в місцях запуску, запланованих завдань під назвою “Runtime Broker”, і підозріле виконання msedge.exe, що відповідає маскуванню майнера. Виявляйте Node.js процеси, що викликають Function.constructor, і аномальну активність HTTP POST до /keys ендпоінтів. Зменште ризик, вимикаючи автоматичні завдання VSCode і переглядаючи скрипти пакетів перед виконанням npm install або запусками етапів збірки в ненадійних репозиторіях.

Відповідь

Якщо спостерігаються індикатори, ізолюйте уражену систему, завершіть підозрілі процеси і збережіть артефакти пам’яті та диска для судової експертизи. Відкличте будь-які відкриті облікові дані MongoDB і змініть всі відповідні секрети облікових записів. Проведіть інвентаризацію облікових записів і доступу, щоб визначити постраждалих користувачів, потім скиньте облікові дані і скасуйте активні сесії/токени. Повідомте внутрішніх зацікавлених сторін і координуйте з правоохоронними органами, якщо є докази крадіжки криптовалюти або компрометації гаманця.

Потік атаки

Виявлення

Можливе проникнення/виведення даних/К2 через сторонні сервіси/інструменти (через dns)

Команда SOC Prime
14 січня 2026

Підозрілі зміни налаштувань Windows Defender (через powershell)

Команда SOC Prime
14 січня 2026

Підозрілі бінарні / скрипти в місцях автозапуску (через file_event)

Команда SOC Prime
14 січня 2026

Прихований файл був створений на Linux-хості (через file_event)

Команда SOC Prime
14 січня 2026

Можливе інфільтрація/ексфільтрація даних/командування та управління (C2) через сервіси/інструменти третіх сторін (через proxy)

Команда SOC Prime
14 січня 2026

IOC (електронні пошти) для виявлення: Полювання на Lazarus: Всередині інфраструктури C2 заразного інтерв’ю

Правила SOC Prime AI
14 січня 2026

IOC (DestinationIP) для виявлення: Полювання на Lazarus: Всередині інфраструктури C2 заразного інтерв’ю

Правила SOC Prime AI
14 січня 2026

IOC (SourceIP) для виявлення: Полювання на Lazarus: Всередині інфраструктури C2 заразного інтерв’ю

Правила SOC Prime AI
14 січня 2026

IOC (HashSha256) для виявлення: Полювання на Lazarus: Всередині інфраструктури C2 заразного інтерв’ю

Правила SOC Prime AI
14 січня 2026

Підозріла функція getCookie, що отримує шкідливий JavaScript з домену Vercel [Подія з файлом Windows]

Правила SOC Prime AI
14 січня 2026

Підозріле використання Function.constructor в errorHandler.js для серверної RCE [Подія з файлом Windows]

Правила SOC Prime AI
14 січня 2026

Маскування шкідливих процесів як RuntimeBroker і майнера XMRig як msedge.exe [Створення процесу Windows]

Правила SOC Prime AI
14 січня 2026

Шкідлива конфігурація авто-виконання в VSCode [Подія з файлом Windows]

Правила SOC Prime AI
14 січня 2026

Виконання симуляції

Передумова: Попередня перевірка телеметрії та базової лінії має бути пройдена.

Опис атаки та команди

Супротивник копіює легітимний RuntimeBroker.exe бінарний файл до нестандартного місця (%TEMP%) щоб маскуватися як надійний процес при уникненні виявлення за відомими системними шляхами. Виконуючи копію, подія створення процесу містить очікуване ім’я зображення, але шлях, що не проходить перевірку вмісту “System32”, що задовольняє selection_runtime.

Сценарій тестування регресії

# -----------------------------------------------
# TC-20260114-A1B2C – Симуляція маскування
# -----------------------------------------------

# 1. Визначте шляхи
$src  = "$env:SystemRootSystem32RuntimeBroker.exe"
$dest = "$env:TEMPRuntimeBroker.exe"

# 2. Копіюйте легітимний бінарний файл до несистемного каталогу
Copy-Item -Path $src -Destination $dest -Force

# 3. Запустіть скопійований бінарний файл (це повинно викликати правило Sigma)
Start-Process -FilePath $dest -WindowStyle Hidden

# 4. ОПЦІЙНО: Імітуйте сценарій маскування msedge (майнера)
#    (Скопіюйте будь-який безпечний виконуваний файл, перейменуйте його в msedge.exe, розмістіть під %LOCALAPPDATA%MicrosoftWindowsApplications)
$minerSrc  = "$env:SystemRootSystem32notepad.exe"
$minerDest = "$env:LOCALAPPDATAMicrosoftWindowsApplicationsmsedge.exe"
Copy-Item -Path $minerSrc -Destination $minerDest -Force
Start-Process -FilePath $minerDest -WindowStyle Hidden
# -----------------------------------------------

Команди очищення

# Видаліть шкідливі копії
Remove-Item -Path "$env:TEMPRuntimeBroker.exe" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "$env:LOCALAPPDATAMicrosoftWindowsApplicationsmsedge.exe" -Force -ErrorAction SilentlyContinue