Северокорейская группа Lazarus переходит на бесфайловое вредоносное ПО в новых криптоатаках

Аналитики в области кибербезопасности обнаружили новый бесфайловый троян удалённого доступа (RAT) под названием RemotePE. Он используется группой Lazarus Group — киберпреступной группировкой, предположительно связанной с Северной Кореей, — для атак на банки и криптовалютные компании.

Согласно недавнему анализу, данное вредоносное ПО функционирует исключительно в памяти, что делает практически невозможным обнаружение каких-либо следов на заражённых компьютерных системах.

Lazarus Group использует социальную инженерию для мошенничества с инвесторами

Lazarus Group начинает взлом с применения методов социальной инженерии. Злоумышленники представляются сотрудниками торговых компаний через Telegram. Для этого они используют поддельные копии Calendly и Picktime — широко распространённых инструментов для планирования встреч.

После получения согласия на встречу цепочка событий продолжается вплоть до установки первого вредоносного компонента. Этот метод «человека в петле» позволяет операторам Lazarus разрабатывать эффективные приманки.

Вредоносное ПО действует через хорошо скоординированную трёхэтапную цепочку, направленную на минимизацию дисковых операций. Первый этап — DPAPILoader. Это динамически подключаемая библиотека (DLL), известная также под именем файла Iassvc.dll с ноября 2023 года.

Программа использует интерфейс программирования приложений защиты данных Windows (DPAPI) для расшифровки полезной нагрузки, хранящейся на диске.

Расшифрованная полезная нагрузка затем передаётся в RemotePELoader, который устанавливает HTTP-соединение с C2 по адресу aes-secure[.]net. После этого загружается и выполняется последний этап RemotePE в памяти.

Для обхода EDR-решений RemotePELoader использует техники Hell's Gate и ETW Patching с целью уклонения от обнаружения.

Наконец, основная полезная нагрузка RAT RemotePE никогда не контактирует с файловой системой, сохраняя низкую криминалистическую видимость на протяжении всей цепочки атаки. Данное вредоносное ПО было впервые обнаружено в сентябре 2025 года.

В описанном инциденте инфраструктура компании в сфере DeFi（Децентрализованных финансов） была скомпрометирована тремя различными RAT — RemotePE, PondRAT и ThemeForestRAT, — которые последовательно заменяли друг друга.

Передовые технологии и ИИ становятся худшим кошмаром трейдеров

Раньше криптоинвесторы обращались к ИИ и технологиям для оптимизации торговли. Теперь те же инструменты оказались в руках хакеров, причиняя им огромные финансовые потери.

Привязка к среде через DPAPI, выполнение только в памяти, ETW patching и Hell's Gate делают RemotePE практически невозможным для обнаружения традиционными методами. Аналитики Fox-IT, дочерней структуры NCC Group, отметили, что эти характеристики свидетельствуют о том, что вредоносное ПО разработано для длительного присутствия с целью проведения разведки перед нанесением удара, в отличие от типичных деструктивных вредоносных атак.

Lazarus Group уже похитила около 577 $ миллионов в криптовалюте за первые четыре месяца 2026 года. Это составляет 76% всех краж криптовалюты в мире, несмотря на всего два крупных хакерских инцидента, по данным аналитической компании блокчейна TRM Labs.

Доля криптовалютных взломов, приписываемых Северной Корее, резко возросла: с однозначных цифр в предыдущие годы до 64% в 2025 году и 76% в 2026 году. Рекордная сумма похищенных средств с 2017 года составляет 6 $ миллиардов. По имеющимся данным, эти средства финансируют программы вооружений и ядерного развития страны в условиях санкций.

Хакеры используют ИИ для дестабилизации разработчиков крупных технологических структур

Эксперты по кибербезопасности обнаружили масштабную атаку, в ходе которой хакеры атаковали более 700 сайтов, работающих на Ghost Content Management System, эксплуатируя критическую уязвимость SQL-инъекции. Кибератаки предоставили злоумышленникам доступ к именам пользователей и паролям учётных записей администраторов, что позволило им внедрить вредоносное ПО через редиректы JavaScript в каналы распространения ClickFix.

Среди целевых платформ — академические учреждения, ИИ-проекты, блокчейн-сервисы, SaaS-поставщики, источники исследований в области кибербезопасности, новостные агентства и финтех-компании.

Жертвам, столкнувшимся с поддельной CAPTCHA, предлагается ввести строку в кодировке Base64 в диалоговое окно «Выполнить». На этом шаге они могут загрузить ZIP-файл, содержащий пакетный скрипт. Этот пакетный скрипт затем выполняет команду PowerShell, которая загружает подписанный DLL или JavaScript-файлы с удалённого сервера.

Ранние версии вредоносного ПО запускали DLL с помощью rundll32.exe. Однако последние версии устанавливают инсталлятор Inno Setup для открытой версии приложения Electron под названием Grape. После установки вредоносное ПО закрепляется в системе и обращается к домену C2 web-telegram[.]ug каждые 30 секунд.

Самые умные умы в крипто уже читают нашу рассылку. Хотите присоединиться? Вступайте.