Полювання на Лазаря: Всередині Інфраструктури C2 Contagious Interview
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Red Asgard повідомив про компрометацію ланцюга поставок, пов’язану з криптовалютним проектом, що просувається через Upwork, де оператори Lazarus вбудовували шкідливий код в процес збірки/робочий процес. Ланцюг зловживає автоматичним виконанням завдань VSCode, бекдором Node.js, реалізованим через конструктор Function, і поставкою payload, охопленою кукі, щоб отримувати шкідливий JavaScript з інфраструктури командування і контролю, розміщеної на Vercel. Стек C2 поділяється на верселеві домени першого етапу і спеціальні сервери Windows другого етапу, які доставляють сильно обфусцирований Python бекдор з функціональністю майнінгу XMRig. Кампанія також використовує Pastebin для дропа, користувацький двійковий протокол і сувору ізоляцію облікових даних для ускладнення аналізу і ліквідації.
Розслідування
Дослідники перерахували три верселеві домени, що відкривають токен-аутентифіковані ендпоінти, і визначили п’ять спеціальних C2 систем, що працюють на Express.js on порт 1244. Вони також задокументували техніку таймінг-оракул для визначення або перерахування активних токенів кампанії. Зворотне інженерування 64-шаровий обфусцирований пейлоад в кінцевому підсумку виявило тройований компонент, що зберігається через розміщення в папці Startup і створення запланованих завдань. Додаткові знахідки включали вбудовані облікові дані MongoDB, приблизно 1,000 URL-адрес дропа Pastebin і користувальницькі прослуховувачі двійкового протоколу Z238 на кількох портах.
Пом’якшення
Заблокуйте вихідні комунікації до вказаних верселевих доменів і обмежте егресс до портів 1244, 1249 і 22411–22412. Моніторьте створення Windows Update Script.pyw в місцях запуску, запланованих завдань під назвою “Runtime Broker”, і підозріле виконання msedge.exe, що відповідає маскуванню майнера. Виявляйте Node.js процеси, що викликають Function.constructor, і аномальну активність HTTP POST до /keys ендпоінтів. Зменште ризик, вимикаючи автоматичні завдання VSCode і переглядаючи скрипти пакетів перед виконанням npm install або запусками етапів збірки в ненадійних репозиторіях.
Відповідь
Якщо спостерігаються індикатори, ізолюйте уражену систему, завершіть підозрілі процеси і збережіть артефакти пам’яті та диска для судової експертизи. Відкличте будь-які відкриті облікові дані MongoDB і змініть всі відповідні секрети облікових записів. Проведіть інвентаризацію облікових записів і доступу, щоб визначити постраждалих користувачів, потім скиньте облікові дані і скасуйте активні сесії/токени. Повідомте внутрішніх зацікавлених сторін і координуйте з правоохоронними органами, якщо є докази крадіжки криптовалюти або компрометації гаманця.
Потік атаки
Виявлення
Можливе проникнення/виведення даних/К2 через сторонні сервіси/інструменти (через dns)
Перегляд
Підозрілі зміни налаштувань Windows Defender (через powershell)
Перегляд
Підозрілі бінарні / скрипти в місцях автозапуску (через file_event)
Перегляд
Прихований файл був створений на Linux-хості (через file_event)
Перегляд
Можливе інфільтрація/ексфільтрація даних/командування та управління (C2) через сервіси/інструменти третіх сторін (через proxy)
Перегляд
IOC (електронні пошти) для виявлення: Полювання на Lazarus: Всередині інфраструктури C2 заразного інтерв’ю
Перегляд
IOC (DestinationIP) для виявлення: Полювання на Lazarus: Всередині інфраструктури C2 заразного інтерв’ю
Перегляд
IOC (SourceIP) для виявлення: Полювання на Lazarus: Всередині інфраструктури C2 заразного інтерв’ю
Перегляд
IOC (HashSha256) для виявлення: Полювання на Lazarus: Всередині інфраструктури C2 заразного інтерв’ю
Перегляд
Підозріла функція getCookie, що отримує шкідливий JavaScript з домену Vercel [Подія з файлом Windows]
Перегляд
Підозріле використання Function.constructor в errorHandler.js для серверної RCE [Подія з файлом Windows]
Перегляд
Маскування шкідливих процесів як RuntimeBroker і майнера XMRig як msedge.exe [Створення процесу Windows]
Перегляд
Шкідлива конфігурація авто-виконання в VSCode [Подія з файлом Windows]
Перегляд
Виконання симуляції
Передумова: Попередня перевірка телеметрії та базової лінії має бути пройдена.
Опис атаки та команди
Супротивник копіює легітимний RuntimeBroker.exe бінарний файл до нестандартного місця (%TEMP%) щоб маскуватися як надійний процес при уникненні виявлення за відомими системними шляхами. Виконуючи копію, подія створення процесу містить очікуване ім’я зображення, але шлях, що не проходить перевірку вмісту “System32”, що задовольняє selection_runtime.
Сценарій тестування регресії
# -----------------------------------------------
# TC-20260114-A1B2C – Симуляція маскування
# -----------------------------------------------
# 1. Визначте шляхи
$src = "$env:SystemRootSystem32RuntimeBroker.exe"
$dest = "$env:TEMPRuntimeBroker.exe"
# 2. Копіюйте легітимний бінарний файл до несистемного каталогу
Copy-Item -Path $src -Destination $dest -Force
# 3. Запустіть скопійований бінарний файл (це повинно викликати правило Sigma)
Start-Process -FilePath $dest -WindowStyle Hidden
# 4. ОПЦІЙНО: Імітуйте сценарій маскування msedge (майнера)
# (Скопіюйте будь-який безпечний виконуваний файл, перейменуйте його в msedge.exe, розмістіть під %LOCALAPPDATA%MicrosoftWindowsApplications)
$minerSrc = "$env:SystemRootSystem32notepad.exe"
$minerDest = "$env:LOCALAPPDATAMicrosoftWindowsApplicationsmsedge.exe"
Copy-Item -Path $minerSrc -Destination $minerDest -Force
Start-Process -FilePath $minerDest -WindowStyle Hidden
# -----------------------------------------------
Команди очищення
# Видаліть шкідливі копії
Remove-Item -Path "$env:TEMPRuntimeBroker.exe" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "$env:LOCALAPPDATAMicrosoftWindowsApplicationsmsedge.exe" -Force -ErrorAction SilentlyContinue