Северокорейская группа Lazarus развернула бесфайловый троян RemotePE, нацеленный на криптовалюты и банки

Аналитики в области кибербезопасности обнаружили новый троян удаленного доступа (RAT) без файлов, получивший название RemotePE. Он используется группировкой киберпреступников Lazarus Group, предположительно связанной с Северной Кореей, для атак на банки и криптовалютные компании.

Согласно недавнему анализу, это вредоносное ПО функционирует исключительно в оперативной памяти, что делает практически невозможным оставление каких-либо следов на зараженных компьютерных системах.

Группа Lazarus использует методы социальной инженерии для обмана инвесторов

Группа Lazarus начинает взлом с помощью методов социальной инженерии. Они выдают себя за сотрудников торговых компаний через Telegram. Для этого злоумышленники используют поддельные копии Calendly и Picktime, широко используемых для планирования встреч.

После получения одобрения на встречу цепочка событий продолжается до установки первого вредоносного ПО. Этот метод с участием человека позволяет операторам Lazarus разрабатывать эффективные приманки.

Вредоносная программа работает по хорошо скоординированной трехэтапной схеме, направленной на сокращение операций с диском. Первым этапом является DPAPILoader. Это динамически подключаемая библиотека (DLL), известная также под именем файла Iassvc.dll с ноября 2023 года.

Программа использует программный интерфейс защиты данных Windows (DPAPI) для расшифровки данных, хранящихся на диске.

Расшифрованные данные затем передаются в RemotePELoader, который устанавливает HTTP-соединение с сервером управления (C2) по адресу aes-secure[.]net. После этого он загружает и запускает последний этап RemotePE в оперативной памяти.

Для обхода решений RemotePELoader использует методы Hell's Gate и ETW Patching, чтобы избежать обнаружения.

Наконец, основная полезная нагрузка RemotePE RAT никогда не контактирует с файловой системой, что обеспечивает низкую степень видимости для криминалистического анализа на протяжении всей цепочки атаки. Это вредоносное ПО было впервые обнаружено в сентябре 2025 года.

В ходеdentо котором сообщалось, инфраструктура компании, работающей в сфере децентрализованных финансов (DeFi), была скомпрометирована тремя различными RAT (RemotePE, PondRAT и ThemeForestRAT), которые в конечном итоге заменили друг друга.

Передовые технологии и искусственный интеллект превращаются в худший кошмар для трейдеров

Ранее криптоинвесторы обращались к искусственному интеллекту и технологиям для оптимизации торговли. Теперь же те же инструменты попали в руки хакеров, причинив им огромные финансовые потери.

Использование DPAPI для управления окружением, выполнение только в памяти, патчинг ETW и Hell's Gate делают RemotePE практически необнаружимым традиционными методами. Аналитики Fox-IT, дочерней компании NCC Group, отмечают, что эти характеристики указывают на то, что вредоносная программа разработана для долгосрочного поддержания своей работоспособности с целью проведения разведки перед началом атаки, в отличие от типичных деструктивных атак вредоносного ПО.

группа Lazarus уже украла криптовалюту на сумму около 577 миллионов долларов за первые четыре месяца 2026 года. На это приходится 76% всех краж криптовалюты в мире, несмотря на всего два крупных хакерскихdentПо данным аналитической компании TRM Labs, занимающейся изучением блокчейна,

Процент взломов криптовалют, приписываемых Северной Корее, резко возрос. С однозначных цифр в предыдущие годы до 64% ​​в 2025 году и 76% в 2026 году. Рекордная сумма украденных средств с 2017 года составляет 6 миллиардов долларов. Предполагается, что эти средства финансируют программы страны по разработке оружия и ядерного оружия в условиях санкций.

Хакеры используют ИИ для дестабилизации разработчиков, стоящих за крупными технологическими компаниями

Эксперты по кибербезопасности обнаружили масштабную атаку, в ходе которой хакеры атаковали более 700 сайтов, работающих под управлением системы управления контентом Ghost, используя критическую уязвимость SQL-инъекции. В результате кибератак злоумышленники получили доступ к именам пользователей и паролям административных учетных записей, что позволило им внедрять вредоносное ПО через перенаправления JavaScript в свои каналы распространения ClickFix.

В число целевых платформ входят академические учреждения, проекты в области искусственного интеллекта, блокчейн- сервисы, поставщики программного обеспечения как услуги, исследовательские центры по кибербезопасности, новостные агентства и финтех-компании.

Жертвам, столкнувшимся с поддельной CAPTCHA, предлагается ввести строку в кодировке Base64 в диалоговое окно «Выполнить». На этом этапе они могут загрузить ZIP-файл, содержащий пакетный скрипт. Этот пакетный скрипт затем запускает команду PowerShell, которая получит подписанные DLL-файлы или файлы JavaScript с удаленного сервера.

Более ранние версии вредоносной программы запускали DLL-файл с помощью rundll32.exe. Однако в последних версиях устанавливается установщик Inno Setup для версии приложенияtron с открытым исходным кодом под названием Grape. После установки вредоносная программа становится постоянной и опрашивает домен управления web-telegram[.]ug каждые 30 секунд.