Nel 2021, il Gruppo Lazarus ha preso di mira i ricercatori nel campo della sicurezza con progetti Visual Studio compromessi. Nel 2024, ha inserito pacchetti dannosi su PyPI ricorrendo al typosquatting. E in una campagna attiva almeno dal marzo 2025, il gruppo è passato a tecniche di spear phishing che si spacciavano per Edge Group, IIT Kanpur e Airbus, prendendo di mira organizzazioni del settore aerospaziale e della difesa.
Il contenitore di distribuzione cambia, ma la strategia alla base rimane la stessa. Ogni versione della backdoor Comebacker sviluppata dal gruppo si basa sullo stesso punto di accesso: un file che l'utente apre e ritiene affidabile. Una recente analisi condotta da ENKI descrive in dettaglio questa ultima variante di Comebacker e mette in luce un'evoluzione tecnica significativa.
Il dropper ora utilizza un algoritmo XOR/bit-swap personalizzato al posto dei codici RC4 o HC256 presenti nelle versioni precedenti. Le fasi di caricamento sono passate alla crittografia ChaCha20. Inoltre, per la prima volta, il traffico di comando e controllo è crittografato con AES-128-CBC, abbandonando le comunicazioni in chiaro che rendevano le varianti precedenti più facili da intercettare.
Ciascuna di queste modifiche è pensata per eludere i sistemi di rilevamento basati sulle firme, ma nessuna di esse ha alcuna rilevanza se il file dannoso non arriva mai all'utente. Per le organizzazioni che gestiscono programmi riservati, dati soggetti alle norme ITAR o sistemi OT mission-critical, la compromissione di una singola postazione di lavoro può innescare un incidente a cascata nella catena di fornitura.
Questo articolo analizza il funzionamento della catena di infezione di Comebacker, spiega perché le difese tradizionali faticano a contrastarla e illustra come una strategia di sicurezza dei file incentrata sulla prevenzione, applicata al gateway di posta elettronica, ai dispositivi rimovibili e a ogni punto di ingresso intermedio, riesca a neutralizzare la minaccia indipendentemente dal modo in cui il payload è stato occultato.
In che modo gli attacchi basati su file aggirano le difese perimetrali
Gli attori statali come il Gruppo Lazarus sfruttano la posta elettronica e i supporti rimovibili perché le organizzazioni del settore aerospaziale e della difesa si affidano a questi canali per trasferire file attraverso le reti. Ciò che rende difficile individuare Comebacker è ciò che accade dopo la consegna. Il documento iniziale sembra legittimo, ma una volta aperto, innesca una catena di esecuzione in più fasi progettata per rimanere nascosta.
Principali punti di accesso per le campagne in stile Comebacker
E-mail:
Allegati dannosi camuffati da contratti con i fornitori, aggiornamenti sui progetti o fatture. ENKI ha individuato quattro documenti esca in formato .docx che si spacciavano per Edge Group, IIT Kanpur e Airbus nell’ambito di una campagna attiva almeno dal marzo 2025.
Supporti periferici:
USB o dischi portatili infetti introdotti nelle reti dei reparti di progettazione o produzione durante operazioni di routine quali aggiornamenti software o cicli di manutenzione.
Una macro VBA decrittografa un loader insieme a un documento esca molto realistico utilizzando un algoritmo XOR/bit-swap personalizzato. Il loader si attiva attraverso diverse fasi crittografate utilizzando ChaCha20. La backdoor finale viene eseguita interamente in memoria, senza lasciare tracce sul disco che possano essere individuate dagli strumenti di monitoraggio degli endpoint.
Quando la backdoor entra in contatto con il server centrale, tutto il traffico di comando e controllo è crittografato con AES-128-CBC, confondendosi con la normale attività HTTPS. Gli strumenti di sicurezza perimetrale tradizionali rilevano solo che un utente apre un documento e genera traffico web crittografato, e nulla in quella sequenza fa scattare un allarme.
Il Gruppo Lazarus sta utilizzando varianti parallele con diverse implementazioni crittografiche: ChaCha20 in una catena, HC256 in un'altra, tutte dotate di funzionalità backdoor identiche. Una firma di rilevamento creata per una di queste non rileverà l'altra. Questo è il problema fondamentale quando ci si affida esclusivamente al rilevamento. Gli autori degli attacchi stanno infatti progettando appositamente i propri payload per eluderlo.
Neutralizzare il malware prima che venga eseguito
Cosa fare, quindi, di una minaccia progettata appositamente per eludere il rilevamento? Una possibilità è quella di aggiungere ulteriori livelli di rilevamento, più motori, più firme e più regole comportamentali. Questo aiuta, ma gli hacker stanno già progettando malware in grado di aggirare tale modello. L'altra opzione è quella di iniziare a rimuovere gli elementi che rendono un file pericoloso. Questa è la logica operativa alla base delle tecnologie OPSWAT.
Ogni file che entra nell'ambiente, sia tramite e-mail che tramite supporti rimovibili, viene prima sottoposto all'analisi Metascan™ Multiscanning. Il file viene analizzato in parallelo da oltre 30 motori anti-malware, che combinano il rilevamento basato su firme con tecniche euristiche e l'apprendimento automatico. Mentre un singolo motore potrebbe non rilevare una nuova variante di Comebacker, la probabilità che oltre 30 motori non la rilevano tutti diminuisce in modo significativo.
Tuttavia, la copertura del rilevamento, per quanto ampia, dipende comunque dal riconoscimento di elementi dannosi. La tecnologia Deep CDR™ non cerca di identificare il payload, ma elimina le condizioni che ne consentono l'esecuzione. Questo livello di prevenzione rimuove dagli file gli elementi attivi, quali macro, script, eseguibili incorporati e oggetti nascosti, per poi ricostruire una versione pulita e utilizzabile del documento. Questo processo funziona su oltre 200 tipi di file e si completa in pochi millisecondi.
Tecnologia Deep CDR™ in un attacco di tipo "comebacker"
Prima della tecnologia Deep CDR™ | Grazie alla tecnologia Deep CDR™ |
|---|---|
| Le macro VBA attivano la catena di caricamento | Macro rimosse |
| Il file eseguibile incorporato rilascia un payload a più fasi | File eseguibile rimosso |
| Contenuto del documento fittizio (testo, formattazione, immagini) | File eseguibile rimosso |
Grazie a questa tecnologia, gli elementi pericolosi vengono eliminati, mentre i contenuti utilizzabili vengono preservati. Il loader, le fasi di crittografia e la backdoor in memoria non hanno alcuna possibilità di essere eseguiti. Tuttavia, non tutti i file possono essere bonificati. I file eseguibili, i programmi di installazione e alcuni documenti soggetti a normative specifiche devono rimanere intatti, specialmente nei settori aerospaziale, della difesa e delle infrastrutture critiche. Per questi file è necessario un diverso tipo di ispezione.
Individuazione delle minacce elusive basate su file che non possono essere eliminate
Per i file che devono passare indenni,Sandbox Adaptive Sandbox MetaDefender Sandbox un'analisi comportamentale basata sul rilevamento delle minacce tramite emulazione. Anziché affidarsi a firme o ispezioni statiche, osserva il comportamento di un file durante l'esecuzione per smascherare attività dannose nascoste.
L'analisi di ENKI mostra che il Gruppo Lazarus integra nel proprio malware la capacità di riconoscere l'ambiente circostante, utilizzando tecniche di attivazione ritardata e di elusione progettate per individuare e aggirare le macchine virtuali. Anziché avviare una macchina virtuale completa, Adaptive Sandbox emula l'esecuzione a livello di istruzioni, consentendo l'analisi senza lasciare tracce rilevabili dal malware.
Sandboxing basato su VM vs sandboxing basato su emulazione
Sandbox basata su macchina virtuale | Sandbox Adaptive basata sull'emulazione |
|---|---|
| Rilevabile tramite controlli anti-VM | Larghezza di banda limitata in ambienti ad alto volume |
| Sentenze che richiedono molte risorse e sono più lunghe | Fino a 10 volte più efficiente Risultati in pochi secondi |
| Sentenze che richiedono molte risorse e sono più lunghe | Contrasta le tecniche anti-VM, anti-debug e di elusione basate sul tempo senza necessità di regolazioni manuali |
| Larghezza di banda limitata in ambienti ad alto volume | Progettato per l'analisi di file ad alta produttività |
Durante l'analisi, Adaptive Sandbox i comportamenti in fase di esecuzione, quali l'attività del file system, i tentativi di iniezione nei processi, le modifiche al Registro di sistema e le comunicazioni di rete. Questi sono i modelli generati dalla catena di caricamento di Comebacker: il collegamento di persistenza nella cartella "Avvio", l'esecuzione di rundll32 e la comunicazione crittografata con il server C2.
Adaptive Sandbox decomprimeSandbox i payload stratificati e mette in luce gli IOC nascosti che gli strumenti basati su firme non riescono mai a individuare. I risultati vengono mappati sulle tecniche MITRE ATT&CK e reimmessi nella piattaforma sotto forma di informazioni utili sulle minacce, consentendo decisioni più rapide e una ricerca delle minacce più efficace.
Affrontare la "piramide del dolore" con un sistema di rilevamento unificato
L'evoluzione di Comebacker si allinea perfettamente alla " Piramide del dolore", ovvero il modello che classifica gli indicatori di minaccia in base al costo che comporta per un aggressore modificarli, dagli hash alla base (facili da cambiare) alle TTP al vertice (che richiedono un notevole sforzo di sviluppo per essere riscritte). Il Gruppo Lazarus ha modificato gli indicatori più facili da cambiare in tutte le campagne note di Comebacker dal 2021.
Il "comebacker" associato alla "piramide del dolore"
Livello della piramide del dolore | Esempio di "comebacker" |
|---|---|
| Valori hash | Hash SHA256 distinti per ogni fase di dropper e loader |
| Indirizzi IP / Nomi di dominio | I domini C2 utilizzati a rotazione nelle varie campagne: hiremployee[.]com, birancearea[.]com. Infrastruttura di staging ospitata su office-theme[.]com |
| Elementi di rete/host | Il traffico C2 crittografato con AES-128-CBC sostituisce le precedenti comunicazioni in chiaro; vengono inserite scorciatoie di persistenza nella cartella "Avvio" |
| Strumenti | Evoluzione dell'algoritmo di cifratura da RC4 a HC256 fino a ChaCha20 nelle diverse fasi del loader; algoritmo XOR/bit-swap personalizzato nel dropper |
| TTP | Spear phishing con documenti compromessi (T1566.001), caricamento di codice riflessivo (T1620), beaconing C2 crittografato (T1573.001), esecuzione di proxy di file binari di sistema tramite rundll32 (T1218.011) |
Probabilmente al Gruppo Lazarus sono bastate poche ore o qualche giorno per modificare le righe inferiori; riscrivere l'architettura del loader e i modelli di esecuzione richiede molto più tempo. Una strategia di rilevamento incentrata esclusivamente sulle righe inferiori significa giocare al gioco che il gruppo vuole che tu giochi. Ogni volta che si crea una firma per una chiave ChaCha20, loro ne generano un'altra.
Dal Sandbox rilevamento unificato
La sezione precedente ha illustrato come Adaptive Sandbox il comportamento in fase di esecuzione di Comebacker. MetaDefender estende tale funzionalità in una pipeline unificata che affronta l'intera "Piramide del dolore", elaborando ogni file attraverso quattro livelli progressivamente più approfonditi.
Livello 1, Reputazione delle minacce: verifica gli hash dei file, gli indirizzi IP e i domini confrontandoli con oltre 50 miliardi di indicatori. L'infrastruttura nota di Comebacker e i campioni già rilevati in precedenza vengono bloccati immediatamente.
Livello 2, Analisi dinamica: inoltra i campioni sconosciuti all'emulazione a livello di istruzioneSandbox Adaptive Sandbox, mettendo in luce catene di caricatori a più fasi, routine di decrittografia ed esecuzione di rundll32. Gli IOC appena individuati vengono reimmessi automaticamente nel Livello 1, rafforzando il rilevamento dei file successivi.
Livello 3, Valutazione delle minacce: mette in correlazione i segnali comportamentali e assegna un punteggio di rischio basato sul livello di affidabilità, tenendo conto dei meccanismi di persistenza, dell'iniezione nei processi e dell'attività C2. È qui che viene segnalata la trasmissione crittografata verso i server C2 di Comebacker, indipendentemente dall'algoritmo di crittografia utilizzato.
Livello 4, Threat Hunting: utilizza la ricerca per similarità basata sull'apprendimento automatico su oltre 100 milioni di campioni analizzati per ricondurre la variante del 2025 alle campagne "Comebacker" del 2021 e del 2024, nonostante lo schema di crittografia sia cambiato completamente. Costringere il Gruppo Lazarus ad abbandonare la propria architettura di caricamento e il proprio modello di esecuzione rappresenta un tipo di pressione sostanzialmente diverso rispetto alla semplice ricerca di nuovi hash di file.
Aggiunta di funzionalità di analisi pre-esecuzione con l'IA predittiva di Alin
Non tutti i file richiedono un'analisi comportamentale completa. Negli ambienti con volumi elevati, l'invio di ogni file sconosciuto alla sandbox comporta un sovraccarico in termini di throughput. La tecnologia Predictive Alin AI OPSWAT risolve questo problema fungendo da livello di intelligence pre-esecuzione.
Predictive Alin AI utilizza l'apprendimento automatico per analizzare gli indicatori strutturali e comportamentali dei file eseguibili senza ricorrere all'esecuzione. I risultati vengono forniti in meno di 100 millisecondi al P99. I primi test indicano un tasso di rilevamento del 90% sui file eseguibili, con lo 0,1% di falsi positivi. Il motore funziona sia online che offline con prestazioni identiche, rendendolo implementabile negli stessi ambienti isolati (air-gapped) in cui le minacce di tipo Comebacker hanno le conseguenze più gravi.
2 Competenze chiave rilevanti
- Previsione delle vulnerabilità zero-day: l'IA predittiva di Alin individua minacce inedite che sfuggono ai motori basati su firme, analizzando i formati eseguibili ad alto rischio (PE, ELF, Mach-O e PDF) prima che vengano eseguiti. L'estensione della copertura dei tipi di file è prevista nella roadmap.
- Riduzione del carico sulla sandbox: i file che il motore dichiara sicuri con un elevato grado di affidabilità vengono elaborati senza passare attraverso l'analisi in sandbox. Ai file segnalati viene invece assegnata la priorità nella pipeline completa a quattro livelli MetaDefender , preservando così la capacità della sandbox per i file che necessitano effettivamente di un'analisi comportamentale approfondita.
Proteggere il gateway di posta elettronica prima che le minacce raggiungano la casella di posta
Comebacker si insinua tramite e-mail. I documenti esca sono stati progettati per arrivare nella casella di posta in arrivo ed essere aperti. Se l'allegato dannoso non viene mai recapitato, la catena di infezione non ha inizio. MetaDefender Cloud Security™ si integra con Microsoft 365 e Google Workspace per analizzare e disinfettare i messaggi prima che raggiungano gli utenti. Opera in linea con il flusso di posta, il che significa che le minacce vengono bloccate prima della consegna.
Protezione a 3 livelli
- Allegati: i file vengono elaborati tramite le tecnologie Metascan™ Multiscanning Deep CDR™. Un file .docx di Comebacker contenente macro VBA incorporate viene ripulito e ricostruito prima ancora che il destinatario possa visualizzarlo.
- Link: gli URL vengono analizzati e riscritti per bloccare le pagine di phishing e i reindirizzamenti di comando e controllo.
- Applicazione delle politiche: i messaggi sospetti vengono automaticamente messi in quarantena, ripuliti o segnalati ai livelli superiori in base alle regole aziendali.
Per i team di sicurezza, l'impatto è immediato. Un minor numero di e-mail dannose che raggiungono gli utenti si traduce in un minor numero di avvisi, meno indagini e meno tempo dedicato alla risoluzione dei problemi. Ciò consente ai team di concentrarsi sulle minacce più urgenti.
Protezione Media rimovibili Media delle reti isolate fisicamente
USB e i dischi portatili fungono da ponte tra i sistemi esterni e le reti di controllo, rendendo ogni file trasferito un potenziale punto di accesso. MetaDefender e MetaDefender Media creano punti di controllo sicuri in questi punti di confine.
Prima che qualsiasi file proveniente da un supporto rimovibile entri in un ambiente sensibile, viene sottoposto a scansione e bonificato tramite le tecnologie Metascan™ Multiscanning Deep CDR™. In questo modo, la stessa protezione utilizzata nel gateway di posta elettronica viene applicata ai supporti fisici. Un documento dannoso che si avvale di macro incorporate o payload nascosti viene neutralizzato prima ancora di raggiungere il sistema di destinazione.
Gli ambienti operativi presentano un'ulteriore sfida: la varietà dei supporti. Il chiosco supporta oltre 20 tipi di supporti, tra cui USB, USB, schede SD, supporti ottici e formati legacy, garantendo un funzionamento coerente anche laddove sono ancora in uso tecnologie meno recenti.
È proprio l'applicazione di queste misure a renderle efficaci. Una volta superata la verifica, il file riceve una firma digitale. Media Agent OPSWAT, installato sugli endpoint, blocca qualsiasi supporto rimovibile privo di tale firma. Una USB non sottoposta a scansione semplicemente non funziona.
Le politiche centralizzate garantiscono l'integrazione del processo. MetaDefender applica regole di quarantena, restrizioni sui dispositivi e registrazione di audit in tutti i flussi di lavoro multimediali, garantendo che ogni file che entra in un ambiente air-gapped venga ispezionato, convalidato e registrato. Per le organizzazioni che operano secondo i requisiti NERC CIP, NIST 800-53 o ISA/IEC, questo livello di controllo è essenziale. Fornisce prove verificabili che ogni file che entra nell'ambiente è stato ispezionato e autorizzato.
Prevenzione unificata oltre ogni confine dei file
Le tecnologie descritte nelle sezioni precedenti – multiscanning, Deep CDR™ Technology, sandboxing, sicurezza della posta elettronica e applicazione delle politiche in modalità kiosk – raggiungono la massima efficacia quando operano nell’ambito di un unico quadro normativo.MetaDefender costituisce la base di riferimento.
La piattaforma centralizza le politiche, la telemetria e l'applicazione delle misure di sicurezza in ogni punto di ingresso dei file, dai gateway di posta elettronica nel cloud ai punti di controllo dei supporti rimovibili e ai trasferimenti di rete. Anziché gestire ogni controllo separatamente, i team di sicurezza definiscono una volta per tutte le regole di gestione dei file e le applicano in modo coerente ovunque.
3 flussi di lavoro fondamentali resi possibili da MetaDefender Core
- Politiche coerenti sui file: le stesse regole di scansione e pulizia si applicano indipendentemente dal modo in cui un file entra nell'ambiente.
- Correzione automatizzata: Sandbox e i dati sulla reputazione determinano le decisioni relative al blocco, alla quarantena o al rilascio senza alcun intervento manuale.
- Conformità e preparazione alle indagini forensi: gli IOC e i registri di audit vengono esportati sulle piattaforme SIEM a fini di reporting e indagine.
Questo approccio unificato colma le lacune tra i singoli controlli. Il verdetto emesso da una sandbox su un file sospetto in un punto di controllo può influenzare immediatamente il modo in cui i file simili vengono gestiti in altri punti di controllo. Il risultato operativo è un rilevamento più rapido, un carico di lavoro ridotto per gli analisti e minori possibilità che un file dannoso riesca a passare attraverso falle non coordinate.
Assicurarsi che Comebacker non torni mai più
Il Gruppo Lazarus continuerà a perfezionare i propri schemi di crittografia, le catene di caricamento e i metodi di distribuzione, ma ciò che non potrà modificare facilmente è il ricorso al file come punto di ingresso. La MetaDefender garantisce la prevenzione a ogni punto di contatto con i file, sia che si tratti di e-mail, supporti rimovibili o trasferimenti di rete.
La tecnologia Multiscanning Deep CDR™ neutralizza le minacce prima che vengano eseguite. La pipeline di rilevamento a quattro livelli MetaDefender individua ciò che non può essere ripulito in modo sicuro, operando su tutta la "Piramide del dolore" e generando informazioni che rafforzano le difese ad ogni analisi.
Predictive Alin AI estende tale intelligenza al perimetro, bloccando in pochi millisecondi le vulnerabilità zero-day previste e preservando la capacità della sandbox per i file che ne hanno maggiormente bisogno. MetaDefender Core questi controlli operino nell'ambito di un quadro normativo unificato.
Di fronte a Comebacker e alle campagne che seguiranno, la vera domanda non è se le vostre difese siano in grado di rilevare l'ultima variante, ma se un file dannoso riesca innanzitutto a raggiungere l'utente. Per scoprire come OPSWAT aiutarvi a garantire la prevenzione in tutto il vostro ambiente, contattate un esperto.
