Северокорейская хакерская группа Lazarus, известная под обозначением APT-C-26, продолжает совершенствовать методы атак на финансовые организации и криптовалютную инфраструктуру. В ходе мониторинга специалисты зафиксировали новую цепочку атак, в которой используются сразу несколько компонентов: свежая уязвимость в коде React, инструменты для перемещения внутри сети и обхода средств защиты, а также переработанная версия вредоносного загрузчика Copperhedge. Все это указывает на целенаправленную операцию, нацеленную на глубокое проникновение в корпоративные сети.
Описание
Опасность этой атаки в том, что она сочетает в себе эксплуатацию уязвимости на этапе получения первоначального доступа и использование продвинутого бэкдора для скрытого управления. Главной целью, скорее всего, стали банковские системы и платформы для торговли цифровыми активами. Подобные инциденты несут риск не только прямого хищения средств, но и утечки критической финансовой информации и компрометации внутренних процессов.
Атака начинается с уязвимости в React
Основным вектором проникновения стала уязвимость CVE-2025-55182, обнаруженная в декабре 2025 года. Она поражает компонент React Server Components (RSC) и связана с небезопасной десериализацией данных. Простыми словами, злоумышленник может отправить на сервер один специально сформированный запрос и получить возможность выполнить свой код без какой-либо авторизации. Эта проблема затрагивает React версий 19.x, а также построенные на них фреймворки, такие как Next.js 15.x и 16.x, если они используют App Router.
Данная уязвимость была раскрыта исследователем безопасности Лахланом Дэвидсоном ещё 3 декабря. Однако, как показывают события, Lazarus быстро взяла её на вооружение. В сети уже ходили сообщения, что группировка использует этот эксплойт под названием React2Shell для доставки других вредоносных программ, например, загрузчика EtherRAT. Теперь же стало известно, что они дополнили свой арсенал ещё и инструментом Copperhedge.
Специалисты зафиксировали, что злоумышленники скомпилировали рабочий эксплойт под Windows. Программа получала на вход файл со списком целей и автоматически сканировала их на наличие уязвимости. После успешного проникновения начинался второй этап.
Внутреннее передвижение и обход защиты
Получив начальный доступ, атакующие не останавливаются. Они запускают инструмент MultiRelay для перемещения по внутренней сети, а также утилиту Akagi64. Эта небольшая программа предназначена для обхода механизма контроля учётных записей пользователей (UAC) в Windows. После того, как права были повышены, хакеры выполняют команду, которая запускает rundll32.exe для загрузки вредоносного кода.
Здесь key-роль играет загрузчик Copperhedge. Он представляет собой первый этап доставки бэкдора. Сам загрузчик использует простой, но эффективный алгоритм расшифровки: он берёт 56-байтовый ключ и по циклу применяет операцию XOR к 184320 байтам данных. После расшифровки в память загружается уже полноценная вредоносная программа - бэкдор Copperhedge.
Интересно, что файловая версия загрузчика была замаскирована под инсталлятор или компонент с названием WaveTest, что помогало избежать обнаружения антивирусами. Такой приём характерен для опытных противников, которые стараются скрыть истинное назначение файла.
Детальное устройство Copperhedge Backdoor
Copperhedge впервые был описан американским агентством CISA ещё в 2020 году. Сообщение указывало на то, что это одна из разновидностей более широкого семейства Manuscrypt, которое уже давно ассоциируется с Lazarus. Manuscrypt представляет собой полноценный инструмент удалённого управления (RAT): он позволяет выполнять произвольные команды, собирать данные о системе, красть файлы и передавать их.
В текущем варианте бэкдор после запуска сохраняет конфигурацию в зависимости от переданного режима. Например, в режиме 3 он записывает зашифрованные параметры в файл brndlog.txt, расположенный в служебной папке Internet Explorer. В других режимах данные уходят в системный реестр. Для предотвращения двойного запуска создаётся специальный мьютекс с именем MsSecurityObj. Это имя совпадает с тем, что специалисты наблюдали в более ранних версиях Copperhedge.
При старте бэкдор собирает сведения о компьютере: имя, имя пользователя, локальный IP-адрес, версию Windows, кодовую страницу системы и путь к исполняемому модулю. Затем на основе этих данных вычисляется CRC-хэш, который служит для идентификации конкретного экземпляра вредоносной программы.
Для связи с командным сервером (C2) используется HTTP. Запросы содержат от трёх до четырёх параметров. Первый - случайное число от 1000 до 9999, второй - жёстко заданная строка T3F56E5UJH0JC3D4, а последний - закодированная в Base64 служебная информация. Бэкдор отправляет запрос, получает ответ, который также декодирует из Base64.
На более поздних этапах для шифрования данных применяется комбинация: алгоритм ChaCha20 с последующей операцией XOR и затем кодирование в Base64. Полученный от сервера ответ проходит обратную обработку. Ключи и nonce для ChaCha20 жёстко прописаны в коде.
Функциональность бэкдора впечатляет: всего в нём заложено 30 команд и 11 кодов ответа. Среди команд - отправка информации о системе и дисках, перечисление файлов в указанной папке, выполнение произвольных команд, упаковка файлов в CAB-архив и их передача, загрузка новых файлов с C2, завершение процессов, удаление файлов с гарантией невозможности восстановления, проверка доступности портов, подделка времени создания файлов, обновление параметров и даже загрузка дополнительных модулей напрямую в память.
Почему это точно Lazarus
Исследователи уверены в принадлежности данной атаки именно группе Lazarus. Во-первых, Copperhedge исторически связывается с этой группировкой. Во-вторых, уязвимость CVE-2025-55182 уже ранее использовалась Lazarus для доставки EtherRAT, нацеленного на блокчейн-сектор. В-третьих, целевая аудитория - банки и криптовалютные площадки - классическая сфера интересов Lazarus.
Таким образом, перед нами хорошо спланированная многоступенчатая операция. Злоумышленники используют не просто доступ к веб-приложению, а целый арсенал: уязвимость для входа, инструменты для повышения привилегий и продвижения, а затем скрытый бэкдор для долгосрочного присутствия. Организациям, работающим в финансовом и блокчейн-секторе, стоит экстренно обновить версии React и Next.js до последних исправлений, а также проверить свои системы на индикаторы компрометации, связанные с набором инструментов, описанным в этом отчёте.
Индикаторы компрометации
IPv4 Port Combinations
- 206.71.148.38:80
URLs
- https://www.magazineschool.co.kr/includes/lm9.asp
MD5
- 0677555769e4b64cc084dcc132048144
- 2175449ed1c275f2cb2490094d7aabf8
- 246e5b07824f131dc4cb1fad35f8f763
- 2e5fafffc9970527c1bbd5262da52f59
- 324f7ef1b7aeb9258e06dabe99a8948f
- 3c922758c200100840f77bc691ef78ce
- 72aa61fa53e9caeee9d2993312587b46
- 9174ecb742b82a0bc4c002b82cc13fa0
- a4d2759e6fc0b6fe5fe221a8bd75c769
- bfd66efdcafb9d24ed9f0e2f733b129c
- cb7c15fc9c07a3db79f35d64efc2fc73
- e3d66a422a81ed40dbd6bb6abd4a3e54
- e6569de917f84422439765b3a67ca971
- f85a05aa9781848e2a9e3f42f0c3418a