Lazarus Group атакует аэрокосмический сектор через новый вариант бэкдора Comebacker

Кампания характеризуется многоступенчатой схемой заражения, начинающейся с фишинговых документов Microsoft Word, тематически связанных с ведущими аэрокосмическими компаниями и исследовательскими институтами. В частности, обнаружены документы, маскирующиеся под материалы компаний Edge Group и Airbus, а также Индийского технологического института в Канпуре. При открытии файлов и разрешении макросов запускается сложный процесс дешифровки, использующий как кастомные алгоритмы XOR, так и современные криптографические протоколы.

Технический анализ показал значительную эволюцию вредоносного ПО по сравнению с предыдущими версиями. Новый вариант использует алгоритм ChaCha20 для дешифровки payload-нагрузки на втором и третьем этапах заражения, тогда как в начальной стадии применяется собственная разработка злоумышленников. Кроме того, впервые в истории Comebacker реализовано сквозное шифрование коммуникаций с командным сервером с использованием AES-128-CBC, что значительно усложняет детектирование трафика.

Особенностью кампании стало создание устойчивого механизма персистентности через автозагрузку Windows. Вредонос создает ярлык в папке автозагрузки, который запускает финальную нагрузку через системную утилиту rundll32.exe. Финальный бэкдор генерирует уникальный идентификатор жертвы и устанавливает соединение с командным сервером hiremployee[.]com, используя сложный алгоритм формирования HTTPS-запросов с рандомизированными параметрами.

Расследование позволило выявить дополнительную инфраструктуру злоумышленников. Аналитики обнаружили второй командный домен birancearea[.]com, связанный с образцом Comebacker, датированным мартом 2025 года. Этот образец использует унаследованную схему дешифровки HC256, аналогичную версиям, распространявшимся через поддельные пакеты PyPI в 2024 году.

Эволюция Comebacker демонстрирует постоянное совершенствование инструментария Lazarus Group. С момента первого обнаружения в 2021 году, когда бэкдор использовался против исследователей безопасности, malware прошел через несколько итераций развития. В 2024 году распространялся через поддельные пакеты Python, а текущая кампания показывает переход к целевому фишингу с тематическими приманками.

Эксперты отмечают, что использование узкотематических документов свидетельствует о тщательной подготовке атаки на конкретные организации. Хотя на момент публикации не зафиксировано успешных компрометаций, инфраструктура злоумышленников остается активной. Специалисты рекомендуют компаниям аэрокосмической и оборонной отраслей усилить защиту от угроз, связанных с макросами, и внедрить строгую верификацию входящих документов.

Кроме того, необходимо обеспечить мониторинг сетевой активности на предмет соединений с выявленными доменами. Регулярное обновление сигнатур антивирусного ПО и применение поведенческого анализа также помогут предотвратить потенциальные инциденты. Следует учитывать, что Lazarus Group продолжает адаптировать свои методы под современные системы защиты, что требует комплексного подхода к кибербезопасности.

Domains

• office-theme.com

URLs

• https://birancearea.com/adminv2
• https://hiremployee.com

MD5

• 126961b8c9a7a0e78899943f6c2a7ce9
• 330608cda92937cd7b344ab7ba482bb5
• 6f3bd09ed57be2c7457c01721bbda990
• 71246decbae855fbb15039e4bafb0322
• b390807f4c18adfa6fa9ce486a616c61
• c014a2ac8c89abc3799a520da331caf5
• d90aeea054ae8cfbd6fca2bd1588a852
• e4541d91fca9df943b6e119dc1c6cd7f

SHA1

• 068b32f6f27222ab640a92e9ce311cbf65cd842f
• 1bfcb157677167c4d5498a0821f3d40691f1e137
• 3c5f195658fac0a6101e3a57a4187dab466b1262
• 6c6419ee544e78448d0641f88ebd3ea2279f4f66
• 701296f6ff0daf3264dd8814c469b2c7f56df1ec
• 78a2cabf3958d1586449c084924fe0cf6fe3e9c8
• a0e0a94417e9c594c5c68a6c815160c8b6a980ae
• c4bec46bfc6b42fa47641080f19577093f8591c7

SHA256

• 046caa2db6cd14509741890e971ddc8c64ef4cc0e369bd5ba039c40c907d1a1f
• 14213c013d79ea4bc8309f730e26d52ff23c10654197b8d2d10c82bbbcd88382
• 7e61c884ce5207839e0df7a22f08f0ab7d483bfa1828090aa260a2f14a0c942c
• 96b973e577458e5b912715171070c0a0171a3e02154eff487a2dcea4da9fb149
• b357b3882cf8107b1cb59015c4be3e0b8b4de80fd7b80ce3cd05081cd3f6a8ff
• b7d625679fbcc86510119920ffdd6d21005427bf49c015697c69ae1ee27e6bab
• c4a5179a42d9ff2774f7f1f937086c88c4bc7c098963b82cc28a2d41c4449f9e
• f2b3867aa06fb38d1505b3c2b9e523d83f906995dcdd1bb384a1087b385bfc50

Aes key

• x!P<&}mjH2YHRQ',

Chacha20 key

• ad9c5aca9977d04c73be579199a827049b6dd9840091ffe8e23acc05e1d4a657

HC256 key

• LH*x239udC<*sd_Sej%lOa0$&ujHl(.R
• 6w6ZT9|a-0}s$@;(@&#jPVC4o+V?1IU%