Деплойт Lazarus запускает безфайловый троян RemotePE, атакующий криптобизнес и банки

Как сообщает Cryptopolitan 26 мая, специалисты по кибербезопасности обнаружили новый безфайловый троян удалённого доступа (RAT) под названием RemotePE, связанный с Lazarus Group, которая ассоциируется с Северной Кореей. Эта группировка использует RemotePE для атак на банки и криптовалютные компании. RemotePE полностью выполняется в памяти и не взаимодействует с файловой системой, из-за чего традиционные антивирусы и инструменты для форензики практически не могут его обнаружить.

Трёхэтапная цепочка атак RemotePE: подтверждение, что нет контакта с файловой системой

RemotePE выполняет атаку через три взаимосвязанных этапа, при этом весь процесс не затрагивает файловую систему:

Stage 1 - DPAPILoader：динамически связывает библиотеки (DLL; начиная с ноября 2023 года также используется имя Iassvc.dll), применяет Windows DPAPI для расшифровки полезной нагрузки на диске

Stage 2 - RemotePELoader：устанавливает HTTP-соединение с C2-сервером на aes-secure[.]net; использует технологию «Врата ада» (Hell's Gate) и патч для ETW, чтобы обойти решения EDR

Stage 3 - RemotePE：основная полезная нагрузка скачивается и запускается в памяти, не контактируя с файловой системой

Одна DeFi-компания подтвердила, что подверглась серии последовательных атак тремя видами RAT: RemotePE, PondRAT и ThemeForestRAT.

Методы социальной инженерии: маскировка под сотрудников торговой компании

Атакующие через Telegram выдают себя за сотрудников торговой компании, используя поддельные Calendly и Picktime для организации встреч и запуска социальной инженерии; после получения одобрения встречи запускается трёхэтапная цепочка установки вредоносного ПО. Fox-IT отмечает, что такой подход «ручного вмешательства» позволяет злоумышленникам конструировать приманки, ориентированные на конкретные цели.

Кражи Lazarus Group в 2026 году: подтверждение данных от TRM Labs

TRM Labs подтверждает, что Lazarus Group в первые четыре месяца 2026 года только в результате двух крупных инцидентов похитила криптоактивы примерно на 577 млн долларов, что составляет 76% от общего объёма криптокраж в 2026 году. Доля хакерских атак, связанных с Северной Кореей, выросла с долей в единицах в предыдущие годы до 64% в 2025 году и до 76% в 2026 году; с 2017 года в сумме похищено около 6 млрд долларов, при этом, как утверждается, эти средства используются для разработки вооружений и ядерных программ Северной Кореи в условиях санкций.

Часто задаваемые вопросы

В чём ключевое отличие RemotePE от обычных RAT?

Ключевая особенность RemotePE — выполнение исключительно в памяти (без «сваливания» файлов на диск). Все три этапа выполнения не контактируют с файловой системой, поэтому традиционные антивирусы и инструменты для форензики, основанные на сканировании файлов, сложно поддаются обнаружению. Аналитики Fox-IT отмечают, что такая конструкция рассчитана на длительное скрытное пребывание для разведки, а не на краткосрочное разрушение.

Как Stage 2 RemotePELoader обходит решения EDR?

RemotePELoader использует технологию «Врата ада» (Hell's Gate) и патч для ETW, чтобы обойти решения для обнаружения и реагирования на конечных устройствах (EDR). Эти техники достигаются путём изменения механизма отслеживания системных событий и прямого вызова системных функций, обходя мониторинг хуков API со стороны EDR.

Как отслеживаются средства, похищенные Lazarus Group?

TRM Labs — ведущая компания по анализу блокчейнов, отслеживающая активности Lazarus Group в цепочке, подтвердила статистику похищений за первые четыре месяца 2026 года — около 577 млн долларов, а также записи о накопленных похищениях примерно на 6 млрд долларов с 2017 года. Конкретные методы отслеживания соответствуют оригинальному отчёту TRM Labs.