RemotePE — скрытный троян удалённого доступа Lazarus Group, работающий исключительно в памяти

Фото автора

CyberSecureFox Editorial Team

Исследователи Fox-IT (подразделение NCC Group) опубликовали детальный анализ многоступенчатого вредоносного фреймворка RemotePE — трояна удалённого доступа, который, по оценке исследователей, используется связанной с Северной Кореей группировкой Lazarus Group для атак на финансовые и криптовалютные организации. Ключевая особенность RemotePE — полное выполнение в оперативной памяти без записи на диск, что делает его практически невидимым для традиционных средств защиты конечных точек. Организациям из секторов DeFi, криптовалют и финансовых услуг следует немедленно проверить свою инфраструктуру на наличие индикаторов компрометации, связанных с этой кампанией.

Многоступенчатая цепочка заражения

По данным Fox-IT, фреймворк RemotePE включает три последовательных этапа, каждый из которых выполняет специфическую функцию в цепочке доставки полезной нагрузки:

  • DPAPILoader (файл «Iassvc.dll») — первый загрузчик, который расшифровывает и загружает зашифрованную полезную нагрузку с диска, используя штатный механизм Windows — Data Protection API (DPAPI). Самый ранний обнаруженный артефакт DPAPILoader датируется ноябрём 2023 года.
  • RemotePELoader — расшифрованная полезная нагрузка второго этапа, которая устанавливает соединение с командным сервером по протоколу HTTP, загружает основной модуль и запускает его в памяти.
  • RemotePE — финальный троян удалённого доступа, написанный на C++, который получает инструкции от командного сервера и выполняется исключительно в оперативной памяти, не оставляя следов в файловой системе.

Использование DPAPI для расшифровки — продуманный выбор: зашифрованная полезная нагрузка привязана к конкретной машине и учётной записи пользователя, что делает невозможным её расшифровку на другом хосте и существенно затрудняет анализ в изолированных средах.

Техники обхода защиты

Перед загрузкой финального модуля RemotePELoader применяет несколько техник уклонения от обнаружения. Как сообщают исследователи, загрузчик использует метод Hell’s Gate — технику прямых системных вызовов, позволяющую обходить перехватчики (hooks), установленные решениями класса EDR в пользовательском режиме. Кроме того, RemotePELoader патчит механизм Event Tracing for Windows (ETW), нейтрализуя телеметрию, на которую опираются многие средства мониторинга.

Сочетание бесфайлового выполнения, привязки к окружению через DPAPI, обхода EDR и подавления ETW формирует комплексный набор мер противодействия обнаружению. По оценке Fox-IT, ни RemotePELoader, ни RemotePE не были загружены на VirusTotal до момента публикации отчёта — косвенный индикатор того, что инструмент применялся избирательно против ограниченного числа целей.

Возможности трояна RemotePE

Финальный модуль RemotePE представляет собой полнофункциональный троян удалённого доступа, поддерживающий шесть категорий команд:

  • Управление конфигурацией C2-сервера (получение и изменение)
  • Управление рабочим каталогом и DLL-модулями (регистрация, выгрузка, перечисление)
  • Файловые операции
  • Управление процессами (перечисление, создание, завершение по идентификатору)
  • Управление состоянием (переход в режим ожидания на заданный интервал или завершение работы)
  • Проверка связи с сервером (ping)

Отдельного внимания заслуживает механизм удаления файлов: перед удалением каждый файл перезаписывается постоянными байтами семь раз, затем переименовывается и только после этого удаляется. Этот паттерн семикратной перезаписи, по данным исследователей, идентичен поведению, ранее зафиксированному в PondRAT и POOLRAT (также известном как SIMPLESEA) — инструментах, которые связывают с тем же кластером активности.

Контекст кампании и атрибуция

Fox-IT впервые упомянула RemotePE в сентябре 2025 года в контексте атаки на неназванную организацию из сектора децентрализованных финансов (DeFi). В ходе того инцидента, как сообщается, были развёрнуты три семейства вредоносного ПО: PondRAT, ThemeForestRAT и RemotePE.

Начальный вектор проникновения — социальная инженерия. Злоумышленники связались с сотрудником целевой организации через Telegram, представившись работником торговой компании, и назначили встречу с использованием поддельных доменов, имитирующих сервисы Calendly и Picktime.

Исследователи Fox-IT получили четыре образца RemotePE, анализ которых указывает на активную разработку трояна в период с середины 2023 по середину 2024 года. Самый ранний образец имеет временную метку 4 июля 2023 года.

Важная оговорка: атрибуция данной активности группировке Lazarus основана на анализе единственного исследовательского источника — Fox-IT. Независимого подтверждения этой связи от государственных агентств или других исследовательских организаций на момент публикации не представлено. Тем не менее совпадение паттернов удаления файлов с ранее задокументированными инструментами этого кластера и характерный фокус на криптовалютном секторе делают эту оценку обоснованной.

Индикаторы компрометации

На основе опубликованного анализа доступен следующий сетевой индикатор:

  • Домен C2: aes-secure[.]net — используется RemotePELoader для загрузки финального модуля по HTTP

Рекомендации по защите

Учитывая бесфайловый характер RemotePE и применяемые техники обхода, стандартные средства защиты могут оказаться недостаточными. Рекомендуемые меры:

  • Сетевой мониторинг: добавить домен aes-secure[.]net в блокирующие списки на уровне DNS и прокси-серверов. Настроить оповещения на HTTP-соединения с этим доменом.
  • Контроль DPAPI: мониторить аномальные вызовы CryptUnprotectData из нетипичных процессов — это может указывать на работу DPAPILoader. Обратить внимание на загрузку DLL с именем «Iassvc.dll» из нестандартных расположений.
  • Защита от патчинга ETW: использовать решения, способные детектировать модификацию ETW-провайдеров в рантайме. Ряд современных EDR-платформ предоставляют такую функциональность.
  • Мониторинг поведения в памяти: развернуть или усилить средства обнаружения бесфайловых угроз, включая анализ аномальных паттернов выделения памяти и прямых системных вызовов (характерных для Hell’s Gate).
  • Противодействие социальной инженерии: провести целевое информирование сотрудников, работающих с криптоактивами, о схемах контакта через Telegram с использованием поддельных доменов для планирования встреч.
  • Ретроспективный анализ: проверить сетевые журналы за период с ноября 2023 года на предмет обращений к указанному домену C2.

Фреймворк RemotePE демонстрирует целенаправленные инвестиции в инструментарий для долгосрочного скрытного присутствия в инфраструктуре финансовых организаций. Низкий уровень обнаружения и избирательное применение указывают на то, что этот набор инструментов зарезервирован для высокоценных целей. Организациям из криптовалютного и финансового секторов следует приоритизировать проверку сетевых журналов на наличие обращений к aes-secure[.]net, усилить мониторинг аномальных DPAPI-операций и убедиться, что используемые EDR-решения способны детектировать техники прямых системных вызовов и патчинга ETW.

Фото автора

CyberSecureFox Editorial Team

Редакция CyberSecureFox освещает новости кибербезопасности, уязвимости, malware-кампании, ransomware-активность, AI security, cloud security и security advisories вендоров. Материалы готовятся на основе official advisories, данных CVE/NVD, уведомлений CISA, публикаций вендоров и открытых отчётов исследователей. Статьи проверяются перед публикацией и обновляются при появлении новых данных.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

CyberSecureFox

© 2026 INFO

О сайте

О нас

Авторы

Контакты

Редакция

Редакционные стандарты

Исправления

Правовая информация

Политика конфиденциальности

Условия использования