Северокорейская группа Lazarus развернула бесфайловый троян RemotePE, нацеленный на криптовалюты и банки

- Компания Lazarus Group внедрила RemotePE, полностью устойчивый кdent оперативной памяти троян, который чрезвычайно сложно обнаружить традиционным антивирусным и криминалистическим инструментам.
- Вредоносная программа нацелена на банки, криптовалютные биржи и финтех-компании, используя методы социальной инженерии.
- RemotePE использует методы подавления процессов, проверки на устойчивость к анализу и зашифрованную связь между контроллером и управляющим (C2) системами.
Аналитики в области кибербезопасности обнаружили новый троян удаленного доступа (RAT) без файлов, получивший название RemotePE. Он используется группировкой киберпреступников Lazarus Group, предположительно связанной с Северной Кореей, для атак на банки и криптовалютные компании.
Согласно недавнему анализу, это вредоносное ПО функционирует исключительно в оперативной памяти, что делает практически невозможным оставление каких-либо следов на зараженных компьютерных системах.
Группа Lazarus использует методы социальной инженерии для обмана инвесторов
Группа Lazarus начинает взлом с помощью методов социальной инженерии. Они выдают себя за сотрудников торговых компаний через Telegram. Для этого злоумышленники используют поддельные копии Calendly и Picktime, широко используемых для планирования встреч.
После получения одобрения на встречу цепочка событий продолжается до установки первого вредоносного ПО. Этот метод с участием человека позволяет операторам Lazarus разрабатывать эффективные приманки.
Вредоносная программа работает по хорошо скоординированной трехэтапной схеме, направленной на сокращение операций с диском. Первым этапом является DPAPILoader. Это динамически подключаемая библиотека (DLL), известная также под именем файла Iassvc.dll с ноября 2023 года.
Программа использует программный интерфейс защиты данных Windows (DPAPI) для расшифровки данных, хранящихся на диске.
Расшифрованные данные затем передаются в RemotePELoader, который устанавливает HTTP-соединение с сервером управления (C2) по адресу aes-secure[.]net. После этого он загружает и запускает последний этап RemotePE в оперативной памяти.
Для обхода решений RemotePELoader использует методы Hell's Gate и ETW Patching, чтобы избежать обнаружения.

Наконец, основная полезная нагрузка RemotePE RAT никогда не контактирует с файловой системой, что обеспечивает низкую степень видимости для криминалистического анализа на протяжении всей цепочки атаки. Это вредоносное ПО было впервые обнаружено в сентябре 2025 года.
В ходеdentо котором сообщалось, инфраструктура компании, работающей в сфере децентрализованных финансов (DeFi), была скомпрометирована тремя различными RAT (RemotePE, PondRAT и ThemeForestRAT), которые в конечном итоге заменили друг друга.
Передовые технологии и искусственный интеллект превращаются в худший кошмар для трейдеров
Ранее криптоинвесторы обращались к искусственному интеллекту и технологиям для оптимизации торговли. Теперь же те же инструменты попали в руки хакеров, причинив им огромные финансовые потери.
Использование DPAPI для управления окружением, выполнение только в памяти, патчинг ETW и Hell's Gate делают RemotePE практически необнаружимым традиционными методами. Аналитики Fox-IT, дочерней компании NCC Group, отмечают, что эти характеристики указывают на то, что вредоносная программа разработана для долгосрочного поддержания своей работоспособности с целью проведения разведки перед началом атаки, в отличие от типичных деструктивных атак вредоносного ПО.
, несмотря на всего два крупных хакерскихdentПо данным аналитической компании TRM Labs, занимающейся изучением блокчейна, группа Lazarus уже украла криптовалюту на сумму около 577 миллионов долларов за первые четыре месяца 2026 года. На это приходится 76% всех краж криптовалюты в мире
Процент взломов криптовалют, приписываемых Северной Корее, резко возрос. С однозначных цифр в предыдущие годы до 64% в 2025 году и 76% в 2026 году. Рекордная сумма украденных средств с 2017 года составляет 6 миллиардов долларов. Предполагается, что эти средства финансируют программы страны по разработке оружия и ядерного оружия в условиях санкций.
Хакеры используют ИИ для дестабилизации разработчиков, стоящих за крупными технологическими компаниями
Эксперты по кибербезопасности обнаружили масштабную атаку, в ходе которой хакеры атаковали более 700 сайтов, работающих под управлением системы управления контентом Ghost, используя критическую уязвимость SQL-инъекции. В результате кибератак злоумышленники получили доступ к именам пользователей и паролям административных учетных записей, что позволило им внедрять вредоносное ПО через перенаправления JavaScript в свои каналы распространения ClickFix.
В число целевых платформ входят академические учреждения, проекты в области искусственного интеллекта, блокчейн- сервисы, поставщики программного обеспечения как услуги, исследовательские центры по кибербезопасности, новостные агентства и финтех-компании.
Жертвам, столкнувшимся с поддельной CAPTCHA, предлагается ввести строку в кодировке Base64 в диалоговое окно «Выполнить». На этом этапе они могут загрузить ZIP-файл, содержащий пакетный скрипт. Этот пакетный скрипт затем запускает команду PowerShell, которая получит подписанные DLL-файлы или файлы JavaScript с удаленного сервера.
Более ранние версии вредоносной программы запускали DLL-файл с помощью rundll32.exe. Однако в последних версиях устанавливается установщик Inno Setup для версии приложенияtron с открытым исходным кодом под названием Grape. После установки вредоносная программа становится постоянной и опрашивает домен управления web-telegram[.]ug каждые 30 секунд.
Самые умные криптоаналитики уже читают нашу рассылку. Хотите присоединиться? Вступайте в их ряды.
Предупреждение. Предоставленная информация не является торговой рекомендацией. Cryptopolitanнастоятельно не несет ответственности за любые инвестиции, сделанные на основе информации, представленной на этой странице. Мыtronпровести независимоеdent и/или проконсультироваться с квалифицированным специалистом, прежде чем принимать какие-либо инвестиционные решения.

Флоренс Мучай
Флоренс последние 6 лет освещает новости в сфере криптовалют, игр, технологий и искусственного интеллекта. Ее образование в области компьютерных наук в Университете науки и технологий Меру и в области управления стихийными бедствиями и международной дипломатии в MMUST обеспечили ей богатый опыт в изучении языков, наблюдательности и технических навыках. Флоренс работала в VAP Group и редактором в нескольких криптомедийных изданиях.
















