În 2021, grupul Lazarus a vizat cercetătorii din domeniul securității cu proiecte Visual Studio infectate. În 2024, aceștia au introdus pachete malware pe PyPI folosind tehnica typosquatting. Iar într-o campanie activă cel puțin din martie 2025, grupul a trecut la atacuri de spear phishing, folosind identități false ale Edge Group, IIT Kanpur și Airbus, vizând organizații din sectorul aerospațial și al apărării.
Modul de livrare se schimbă, dar strategia de bază rămâne aceeași. Fiecare versiune a backdoor-ului Comebacker al grupului se bazează pe același punct de intrare: un fișier pe care utilizatorul îl deschide și în care are încredere. O analiză recentă realizată de ENKI descrie în detaliu această ultimă variantă a Comebacker și relevă o evoluție tehnică semnificativă.
Acum, programul de instalare utilizează un algoritm personalizat de tip XOR/schimb de biți, în locul algoritmilor de criptare RC4 sau HC256 folosiți în versiunile anterioare. Etapele de încărcare au trecut la criptarea ChaCha20. Și, pentru prima dată, traficul de comandă și control este criptat cu AES-128-CBC, renunțându-se la comunicațiile în clar care făceau ca variantele anterioare să fie mai ușor de interceptat.
Fiecare dintre aceste modificări are scopul de a eluda detectarea bazată pe semnături, iar fiecare dintre ele este irelevantă dacă fișierul compromis nu ajunge niciodată la utilizator. Pentru organizațiile care gestionează programe clasificate, date supuse reglementărilor ITAR sau sisteme OT critice pentru misiune, o singură stație de lucru compromisă poate duce la un incident la nivelul lanțului de aprovizionare.
Acest articol analizează modul în care funcționează lanțul de infectare al virusului Comebacker, motivele pentru care sistemele tradiționale de apărare se confruntă cu dificultăți în combaterea acestuia și modul în care o strategie de securitate a fișierelor axată pe prevenire, aplicată la nivelul gateway-ului de e-mail, la punctele de acces ale suporturilor amovibile și la toate punctele de intrare intermediare, neutralizează amenințarea, indiferent de modul în care este camuflată încărcătura virală.
Cum reușesc atacurile prin fișiere să ocolească sistemele de apărare perimetrale
Actorii din sectorul statal, precum Grupul Lazarus, exploatează e-mailurile și suporturile amovibile, deoarece organizațiile din domeniul aerospațial și al apărării se bazează pe aceste canale pentru a transfera fișiere în rețea. Ceea ce face ca Comebacker să fie greu de detectat este ceea ce se întâmplă după livrare. Documentul inițial pare legitim, dar odată deschis, acesta declanșează un lanț de execuție în mai multe etape, conceput pentru a rămâne ascuns.
Principalele puncte de acces pentru campaniile de tip „Comebacker”
Email:
Atașamente maligne deghizate în contracte cu furnizori, actualizări de proiect sau facturi. ENKI a identificat patru documente-momeală în format .docx care se dădeau drept Edge Group, IIT Kanpur și Airbus, într-o campanie activă cel puțin din martie 2025.
Suporturi periferice:
USB sau discuri portabile infectate introduse în rețelele departamentelor de inginerie sau producție în cadrul operațiunilor de rutină, cum ar fi actualizările de software sau ciclurile de întreținere.
O macro VBA decriptează un program de încărcare împreună cu un document-momeală convingător, folosind un algoritm personalizat de tip XOR/schimb de biți. Programul de încărcare parcurge mai multe etape criptate folosind ChaCha20. Backdoor-ul final rulează în întregime în memorie, fără a lăsa urme pe disc care să poată fi detectate de instrumentele de securitate ale dispozitivelor.
Până când backdoor-ul ia legătura cu serverul central, tot traficul de comandă și control este criptat cu AES-128-CBC, amestecându-se cu activitatea HTTPS obișnuită. Instrumentele tradiționale de securitate perimetrală detectează doar faptul că un utilizator deschide un document și generează trafic web criptat, iar nimic din această secvență nu declanșează o alertă.
Grupul Lazarus utilizează variante paralele cu implementări criptografice diferite: ChaCha20 într-un lanț, HC256 în altul, toate având aceeași funcționalitate de backdoor. O semnătură de detectare creată pentru una dintre ele nu va detecta cealaltă. Aceasta este problema principală atunci când ne bazăm exclusiv pe detectare. Atacatorii își concep în mod special încărcăturile utile pentru a o eluda.
Neutralizarea programelor malware înainte ca acestea să se execute
Ce poți face, așadar, în fața unei amenințări concepute special pentru a evita detectarea? O opțiune este să adaugi mai multe straturi de detectare, mai multe motoare, mai multe semnături și mai multe reguli comportamentale. Acest lucru ajută, dar atacatorii creează deja programe malware menite să ocolească acest model. Cealaltă opțiune este să începi să elimini elementele care fac un fișier periculos. Aceasta este logica operațională care stă la baza tehnologiilor OPSWAT.
Fiecare fișier care intră în sistem, fie prin e-mail, fie prin intermediul unor suporturi amovibile, este mai întâi procesat de Metascan™ Multiscanning. Fișierul este analizat în paralel de peste 30 de motoare anti-malware, care combină detectarea bazată pe semnături cu metode euristice și învățarea automată. În cazul în care un singur motor ar putea să nu detecteze o variantă nouă a virusului Comebacker, probabilitatea ca toate cele peste 30 de motoare să o rateze scade semnificativ.
Cu toate acestea, chiar și o acoperire de detectare cât de extinsă ar fi, depinde în continuare de identificarea unui element dăunător. Tehnologia Deep CDR™ nu încearcă să identifice încărcătura dăunătoare. În schimb, aceasta elimină condițiile care permit executarea încărcăturii dăunătoare. Acest strat de prevenire îndepărtează elementele active din fișiere, precum macro-uri, scripturi, fișiere executabile încorporate și obiecte ascunse. Apoi, reconstruiește o versiune curată și utilizabilă a documentului. Acest proces funcționează pentru peste 200 de tipuri de fișiere și se finalizează în câteva milisecunde.
Tehnologia Deep CDR™ într-un atac de tip „comebacker”
Înainte de tehnologia Deep CDR™ | După tehnologia Deep CDR™ |
|---|---|
| Macro-urile VBA declanșează lanțul de încărcare | Macro-uri eliminate |
| Fișierul executabil încorporat descarcă o sarcină utilă în mai multe etape | Fișierul executabil a fost eliminat |
| Conținutul documentului fals (text, formatare, imagini) | Fișierul executabil a fost eliminat |
Cu ajutorul acestei tehnologii, elementele periculoase sunt eliminate, iar conținutul util este păstrat. Programul de încărcare, etapele de criptare, precum și backdoor-ul din memorie nu au nicio șansă să se execute. Cu toate acestea, nu toate fișierele pot fi curățate. Fișierele executabile, programele de instalare și anumite documente reglementate trebuie să rămână intacte, în special în mediile din industria aerospațială, de apărare și de infrastructură critică. Pentru aceste fișiere, este necesar un alt tip de inspecție.
Detectarea amenințărilor evazive bazate pe fișiere care nu pot fi eliminate
Pentru fișierele care trebuie să treacă nealterate, Adaptive Sandbox MetaDefender Sandbox o analiză comportamentală prin detectarea amenințărilor bazată pe emulare. În loc să se bazeze pe semnături sau pe inspecția statică, aceasta observă modul în care se comportă un fișier în timpul executării pentru a descoperi activități rău intenționate ascunse.
Analiza ENKI arată că Grupul Lazarus integrează capacități de recunoaștere a mediului în programele sale malware, folosind tehnici de activare întârziată și de eludare menite să detecteze și să ocolească mașinile virtuale. În loc să pornească o mașină virtuală completă, Adaptive Sandbox emulează execuția la nivel de instrucțiuni, permițând efectuarea analizei fără a lăsa urme care pot fi detectate de malware.
Sandboxing bazat pe mașini virtuale vs. sandboxing bazat pe emulare
Mediu de testare bazat pe mașină virtuală | Sandbox Adaptive bazat pe emulare |
|---|---|
| Detectabil prin verificări anti-VM | Capacitate redusă de procesare în medii cu volum mare de date |
| Hotărâri care necesită resurse considerabile și sunt pronunțate mai lent | De până la 10 ori mai eficient Rezultate în câteva secunde |
| Hotărâri care necesită resurse considerabile și sunt pronunțate mai lent | Contracarează mecanismele anti-VM, anti-debug și de evitare bazate pe timp, fără a fi necesară o configurare manuală |
| Capacitate redusă de procesare în medii cu volum mare de date | Conceput pentru analiza fișierelor cu capacitate mare de procesare |
În timpul analizei, Adaptive Sandbox comportamentele din timpul rulării, precum activitatea sistemului de fișiere, încercările de injectare a proceselor, modificările aduse registrului și comunicațiile de rețea. Iată tiparele generate de lanțul de încărcare al lui Comebacker: comanda rapidă de persistență din folderul „Startup”, executarea rundll32 și comunicarea criptată cu serverul de comandă și control (C2).
Sandbox Adaptive Sandbox descompune încărcăturile stratificate și dezvăluie indicatorii de compromis (IOC) ascunși pe care instrumentele bazate pe semnături nu îi detectează niciodată. Rezultatele sunt corelate cu tehnicile din cadrul MITRE ATT&CK și sunt integrate în platformă sub formă de informații operaționale privind amenințările, permițând luarea unor decizii mai rapide și o identificare mai eficientă a amenințărilor.
Abordarea „piramidei durerii” prin detectarea unificată
Evoluția Comebacker se înscrie perfect în „Piramida durerii”, un cadru care clasifică indicatorii de amenințare în funcție de cât de costisitoare este modificarea lor pentru un atacator, de la hash-uri la bază (ușor de schimbat) până la TTP-uri la vârf (care necesită un efort considerabil de dezvoltare pentru a fi rescrise). Grupul Lazarus a schimbat indicatorii ușor de modificat în toate campaniile Comebacker cunoscute începând din 2021.
Comebacker asociat cu Piramida durerii
Nivelul piramidei durerii | Exemplu de revenire |
|---|---|
| Valori hash | Hash-uri SHA256 distincte pentru fiecare etapă de instalare și încărcare |
| Adrese IP / Nume de domeniu | Domeniile C2 au fost schimbate de la o campanie la alta: hiremployee[.]com, birancearea[.]com. Infrastructura de testare este găzduită pe office-theme[.]com |
| Artefacte de rețea/gazdă | Traficul C2 criptat cu AES-128-CBC, care înlocuiește comunicațiile anterioare în clar; comenzi rapide de persistență salvate în folderul Startup |
| Unelte | Evoluția algoritmului de criptare de la RC4 la HC256 și apoi la ChaCha20 pe parcursul etapelor de încărcare; algoritm personalizat XOR/schimb de biți în modulul de descărcare |
| TTP-uri | Spear phishing cu documente infectate (T1566.001), încărcarea codului prin reflexie (T1620), semnalizare C2 criptată (T1573.001), executarea prin proxy a fișierelor binare de sistem prin rundll32 (T1218.011) |
Modificarea rândurilor de jos probabil că i-a luat grupului Lazarus ore sau zile; rescrierea arhitecturii încărcătorului și a modelelor de execuție necesită mult mai mult timp. O strategie de detectare axată exclusiv pe rândurile de jos înseamnă să joci jocul pe care grupul vrea să-l joci. De fiecare dată când creezi o semnătură pentru o cheie ChaCha20, ei generează alta.
De la Sandbox detectarea unificată
Secțiunea anterioară a arătat cum Adaptive Sandbox comportamentul în timpul rulării al programului Comebacker. MetaDefender extinde această capacitate într-un flux unificat care acoperă întreaga „Piramidă a durerii”, procesând fiecare fișier prin patru straturi din ce în ce mai profunde.
Nivelul 1, Reputația amenințărilor: verifică hash-urile fișierelor, adresele IP și domeniile în raport cu peste 50 de miliarde de indicatori. Infrastructura cunoscută a grupului Comebacker și eșantioanele identificate anterior sunt blocate imediat.
Nivelul 2, Analiza dinamică: redirecționează probele necunoscute către emularea la nivel de instrucțiuniSandbox Adaptive Sandbox, dezvăluind lanțuri de încărcare în mai multe etape, rutine de decriptare și execuția rundll32. Indicatorii de compromis (IOC) descoperiți recent sunt transmise automat înapoi către Nivelul 1, consolidând detectarea fișierelor ulterioare.
Nivelul 3, Evaluarea amenințărilor: corelează semnalele comportamentale și atribuie un scor de risc bazat pe gradul de încredere, luând în considerare mecanismele de persistență, injectarea în procese și activitatea C2. Aici este semnalată comunicarea criptată cu serverele C2 ale Comebacker, indiferent de algoritmul de criptare utilizat.
Nivelul 4, Căutarea amenințărilor: utilizează căutarea de similitudini bazată pe învățare automată în peste 100 de milioane de eșantioane analizate pentru a corela varianta din 2025 cu campaniile Comebacker din 2021 și 2024, chiar dacă schema de criptare s-a schimbat complet. Obligarea grupului Lazarus să renunțe la arhitectura încărcătorului și la modelul de execuție reprezintă un tip de presiune fundamental diferit față de urmărirea noilor hash-uri de fișiere.
Integrarea informațiilor de pre-execuție cu ajutorul tehnologiei AI predictive Alin
Nu fiecare fișier necesită o analiză comportamentală completă. În mediile cu volum mare de date, trimiterea fiecărui fișier necunoscut către sandbox generează o presiune asupra capacității de procesare. OPSWAT Predictive Alin AI OPSWAT rezolvă această problemă prin intermediul unui strat de informații pre-execuție.
Alin AI, o soluție predictivă, utilizează învățarea automată pentru a analiza indicatorii structurali și comportamentali ai fișierelor executabile fără a le rula. Rezultatele sunt obținute în mai puțin de 100 de milisecunde la P99. Testele inițiale indică o rată de detectare de 90% pentru fișierele executabile, cu 0,1% rezultate fals pozitive. Motorul funcționează atât online, cât și offline, cu performanțe identice, ceea ce îl face implementabil în aceleași medii izolate fizic (air-gapped) în care amenințările de tip Comebacker au cele mai grave consecințe.
2 competențe esențiale relevante
- Previziune privind vulnerabilitățile de tip „zero-day”: Tehnologia Alin AI de tip predictiv identifică amenințările necunoscute până atunci, pe care motoarele bazate pe semnături nu le detectează, evaluând formatele de fișiere executabile cu risc ridicat (PE, ELF, Mach-O și PDF) înainte ca acestea să fie rulate. Extinderea acoperirii tipurilor de fișiere este prevăzută în planul de dezvoltare.
- Reducerea încărcării mediului de testare: fișierele pe care motorul le consideră sigure cu un grad ridicat de certitudine sunt procesate fără a mai fi supuse analizei în mediul de testare. Fișierele semnalate de motor sunt procesate cu prioritate prin fluxul complet pe patru niveluri MetaDefender , păstrând astfel capacitatea mediului de testare pentru fișierele care necesită cu adevărat o inspecție comportamentală aprofundată.
Securizarea gateway-ului de e-mail înainte ca amenințările să ajungă în căsuța de e-mail
E-mailul este calea prin care Comebacker pătrunde în sistem. Documentele-momeală au fost concepute pentru a ajunge în căsuța de e-mail și a fi deschise. Dacă atașamentul infectat nu ajunge niciodată la destinație, lanțul de infectare nu se declanșează. MetaDefender Cloud Security™ se integrează cu Microsoft 365 și Google Workspace pentru a scana și a dezinfecța mesajele înainte ca acestea să ajungă la utilizatori. Funcționează în fluxul de e-mailuri, ceea ce înseamnă că amenințările sunt blocate înainte de livrare.
Protecție în trei straturi
- Anexe: Fișierele sunt procesate prin intermediul tehnologiilor Metascan™ Multiscanning Deep CDR™. Un fișier .docx de tip „Comebacker” care conține macro-uri VBA încorporate este curățat de acestea și reconstruit înainte ca destinatarul să îl vadă.
- Linkuri: adresele URL sunt analizate și rescrise pentru a bloca paginile de phishing și redirecționările către servere de comandă și control.
- Aplicarea politicilor: mesajele suspecte sunt automat plasate în carantină, curățate sau transmise mai sus, în funcție de regulile organizaționale.
Pentru echipele de securitate, impactul este imediat. Un număr mai mic de e-mailuri rău intenționate care ajung la utilizatori înseamnă mai puține alerte, mai puține investigații și mai puțin timp dedicat remedierea problemelor. Acest lucru permite echipelor să se concentreze asupra amenințărilor cu prioritate mai mare.
Protejarea Media amovibile Media a rețelelor izolate fizic
USB și discurile portabile acționează ca o punte de legătură între sistemele externe și rețelele de control, transformând fiecare fișier transferat într-un potențial punct de intrare. MetaDefender și MetaDefender Media creează puncte de control sigure la aceste granițe.
Înainte ca orice fișier provenit de pe un suport amovibil să intre într-un mediu sensibil, acesta este scanat și curățat cu ajutorul tehnologiilor Metascan™ Multiscanning Deep CDR™. Astfel, protecția utilizată la nivelul gateway-ului de e-mail se aplică și suporturilor fizice. Un document compromis, care se bazează pe macrocomenzi încorporate sau pe încărcături utile ascunse, este neutralizat înainte de a ajunge la sistemul țintă.
Mediile operaționale prezintă o provocare suplimentară: diversitatea suporturilor de stocare. Chioșcul acceptă peste 20 de tipuri de suporturi, inclusiv USB, USB, carduri SD, suporturi optice și formate mai vechi, asigurând o aplicare consecventă a politicilor chiar și în cazul în care se utilizează în continuare tehnologii mai vechi.
Aplicarea riguroasă a acestei proceduri este ceea ce îi asigură eficacitatea. Odată ce un fișier trece de procesul de verificare, acesta primește o semnătură digitală. Agentul Media OPSWAT, instalat pe dispozitivele finale, blochează orice suport amovibil care nu deține această semnătură. O USB care nu a fost scanată pur și simplu nu funcționează.
Politicile centralizate asigură coerența procesului. MetaDefender aplică reguli de carantină, restricții privind dispozitivele și înregistrarea auditului în toate fluxurile de lucru media, asigurându-se că fiecare fișier care intră într-un mediu izolat este inspectat, validat și înregistrat. Pentru organizațiile care operează în conformitate cu cerințele NERC CIP, NIST 800-53 sau ISA/IEC, acest nivel de control este esențial. Acesta oferă dovezi verificabile că fiecare fișier care intră în mediu a fost inspectat și aprobat.
Prevenire unificată la nivelul tuturor limitelor de fișiere
Tehnologiile descrise în secțiunile anterioare – multiscanning, tehnologia Deep CDR™, sandboxing, securitatea e-mailurilor și aplicarea modului kiosk – sunt cele mai eficiente atunci când funcționează în cadrul unei singure politici.MetaDefender oferă această bază.
Platforma centralizează politicile, datele de telemetrie și aplicarea acestora la fiecare punct de intrare a fișierelor, de la gateway-urile de e-mail din cloud până la punctele de control ale suporturilor amovibile și transferurile de rețea. În loc să gestioneze fiecare măsură de control separat, echipele de securitate definesc regulile de gestionare a fișierelor o singură dată și le aplică în mod uniform peste tot.
3 fluxuri de lucru esențiale facilitate de MetaDefender Core
- Politici uniforme privind fișierele: Se aplică aceleași reguli de scanare și curățare, indiferent de modul în care un fișier intră în mediu.
- Remediere automată: Sandbox și datele privind reputația determină luarea deciziilor de blocare, carantină sau eliberare fără intervenție manuală.
- Conformitate și pregătire pentru investigații: indicatorii de compromis (IOC) și jurnalele de audit sunt exportate către platformele SIEM în scopul raportării și investigării.
Această abordare unificată elimină lacunele dintre măsurile de control individuale. O evaluare efectuată în mediul de testare a unui fișier suspect la o anumită graniță poate influența imediat modul în care sunt gestionate fișierele similare la alte granițe. Rezultatul operațional constă într-o detectare mai rapidă, o reducere a volumului de muncă al analiștilor și mai puține șanse ca un fișier periculos să treacă prin lacune necoordonate.
Să ne asigurăm că Comebacker nu se mai întoarce niciodată
Grupul Lazarus va continua să-și perfecționeze schemele de criptare, lanțurile de încărcare și metodele de distribuire, dar ceea ce nu poate schimba cu ușurință este faptul că se bazează pe fișier ca punct de intrare. MetaDefender asigură prevenirea la fiecare punct de contact cu fișierele, fie că este vorba de e-mailuri, suporturi amovibile sau transferuri de rețea.
Tehnologiile Multiscanning Deep CDR™ neutralizează amenințările înainte ca acestea să fie executate. Procesul de detectare pe patru niveluri MetaDefender identifică elementele care nu pot fi eliminate în siguranță, acționând pe întreaga „Piramidă a durerii” și generând informații care consolidează apărarea cu fiecare analiză.
Tehnologia Alin AI de tip predictiv extinde această inteligență la nivelul perimetrului, blocând în câteva milisecunde atacurile de tip zero-day prevăzute și păstrând capacitatea mediului de testare pentru fișierele care au cea mai mare nevoie de aceasta. MetaDefender Core funcționarea acestor controale în cadrul unui sistem unificat de politici.
În ceea ce privește Comebacker și campaniile care vor urma, adevărata întrebare nu este dacă sistemele dvs. de apărare pot detecta cea mai recentă variantă, ci dacă un fișier infectat poate ajunge la utilizator în primul rând. Pentru a afla cum OPSWAT ajuta OPSWAT să implementați măsuri de prevenire în întregul dvs. mediu, contactați un expert.
