Lazarus розгорнув безфайловий троян RemotePE для атак на криптобізнес і банки

Як повідомляє Cryptopolitan 26 травня, мережеві фахівці з безпеки виявили новий безфайловий дистанційний троян (RAT) під назвою RemotePE, який пов’язують із північнокорейською групою Lazarus Group. Її звинувачують у використанні шкідливого програмного забезпечення для атак на банки та криптовалютні компанії. RemotePE працює повністю в пам’яті, не торкається файлової системи, тож традиційні антивіруси та інструменти для форенсики надзвичайно важко виявляють атаку.

Трисхідний ланцюжок атак RemotePE: механізм перевірки без доступу до файлової системи

RemotePE реалізує атаку через три послідовні етапи, увесь процес не торкається файлової системи:

Stage 1 - DPAPILoader: динамічно підвантажує бібліотеку DLL (назва з 2023 року 11 місяця також має вигляд Iassvc.dll), використовуючи Windows DPAPI для розшифрування корисного навантаження на диску

Stage 2 - RemotePELoader: встановлює HTTP-з’єднання з C2-сервером aes-secure[.]net; використовує техніку Перші кроки в пекло (Hell's Gate) та ETW-патчі, щоб обійти рішення EDR

Stage 3 - RemotePE: основне корисне навантаження завантажується в пам’ять і запускається, ніколи не торкається файлової системи

DeFi-компанія підтвердила, що її безперервно атакували трьома видами RAT: RemotePE, PondRAT і ThemeForestRAT.

Соціальна інженерія: маскування під співробітників торговельної компанії

Атакувальники через Telegram видавали себе за співробітників торговельної компанії. Вони використовували підроблені Calendly та Picktime для організації зустрічей, що слугували соціально-інженерним вектором; після отримання схвалення на зустріч запускалася трьохетапна ланка інсталяції шкідливого ПЗ. Fox-IT зазначає, що такий підхід із «людським втручанням» дозволяє атакувальникам проєктувати точні приманки під конкретну ціль.

Надбання вкраденої статистики Lazarus Group за 2026 рік: TRM Labs підтверджує дані

TRM Labs підтвердили, що Lazarus Group упродовж перших чотирьох місяців 2026 року лише за двома великими інцидентами викрала приблизно 5,77 мільярда доларів у криптоактивах, що становить 76% від загальної суми криптокрадіжок у світі за 2026 рік. Частка хакерських атак, пов’язаних із КНДР, зросла з однозначних показників у попередні роки до 64% у 2025 році та 76% у 2026 році. За даними, із 2017 року в сукупності вкрадено близько 6 мільярдів доларів, а ці кошти, як стверджується, використовуються КНДР для розробки зброї та ядерної програми в умовах санкцій.

Поширені запитання

У чому ключова різниця між RemotePE та звичайними RAT?

Ключова особливість RemotePE — чисте виконання в пам’яті (без вивантаження файлів): усі три етапи виконання не торкаються файлової системи, тож традиційні антивірусні рішення та форенсичні інструменти, що базуються на скануванні файлів, складно виявити атаку. Аналітики Fox-IT зазначають, що така конструкція спрямована на тривале приховування для розвідки, а не на короткострокове руйнування.

Як Stage 2 RemotePELoader обходить рішення EDR?

RemotePELoader використовує техніку Hell's Gate та ETW-патчі, щоб обійти кінцеве виявлення і реагування (EDR). Ці техніки змінюють механізм відстеження системних подій та безпосередньо викликають системні виклики, уникаючи моніторингу через API-хуки EDR.

Як відстежують кошти, вкрадені Lazarus Group?

TRM Labs — основна компанія з аналізу блокчейнів, що відстежує активність Lazarus Group. Вони підтвердили статистику викрадень за перші чотири місяці 2026 року на рівні приблизно 5,77 мільярда доларів, а також запис про сукупно близько 6 мільярдів доларів, вкрадених від 2017 року. Конкретні методи відстеження — у первинному звіті TRM Labs.