RemotePE: безфайловий троян Lazarus для атак на крипто та фінанси

Photo of author

CyberSecureFox Editorial Team

Дослідники Fox-IT (підрозділ NCC Group) оприлюднили детальний аналіз багатоступеневого шкідливого фреймворку RemotePE — трояна віддаленого доступу, який, за оцінкою дослідників, використовується пов’язаним з Північною Кореєю угрупованням Lazarus Group для атак на фінансові та криптовалютні організації. Ключова особливість RemotePE — повне виконання в оперативній пам’яті без запису на диск, що робить його практично невидимим для традиційних засобів захисту кінцевих точок. Організаціям із секторів DeFi, криптовалют і фінансових послуг слід негайно перевірити свою інфраструктуру на наявність індикаторів компрометації, пов’язаних із цією кампанією.

Багатоступенева ланцюжок зараження

За даними Fox-IT, фреймворк RemotePE охоплює три послідовні етапи, кожен з яких виконує специфічну функцію в ланцюжку доставки шкідливого навантаження:

  • DPAPILoader (файл «Iassvc.dll») — перший завантажувач, який розшифровує та завантажує зашифроване шкідливе навантаження з диска, використовуючи вбудований механізм Windows — Data Protection API (DPAPI). Найраніший виявлений артефакт DPAPILoader датований листопадом 2023 року.
  • RemotePELoader — розшифроване шкідливе навантаження другого етапу, яке встановлює з’єднання з командним сервером за протоколом HTTP, завантажує основний модуль і запускає його в пам’яті.
  • RemotePE — фінальний троян віддаленого доступу, написаний на C++, який отримує інструкції від командного сервера та виконується винятково в оперативній пам’яті, не залишаючи слідів у файловій системі.

Використання DPAPI для розшифровки — продуманий вибір: зашифроване шкідливе навантаження прив’язане до конкретної машини та облікового запису користувача, що унеможливлює його розшифровку на іншому хості й істотно ускладнює аналіз в ізольованих середовищах.

Техніки обходу захисту

Перед завантаженням фінального модуля RemotePELoader застосовує кілька технік ухилення від виявлення. Як повідомляють дослідники, завантажувач використовує метод Hell’s Gate — техніку прямих системних викликів, що дає змогу обходити перехоплювачі (hooks), встановлені рішеннями класу EDR у користувацькому режимі. Крім того, RemotePELoader патчить механізм Event Tracing for Windows (ETW), нейтралізуючи телеметрію, на яку спирається багато засобів моніторингу.

Поєднання безфайлового виконання, прив’язки до середовища через DPAPI, обходу EDR і придушення ETW формує комплексний набір заходів протидії виявленню. За оцінкою Fox-IT, ані RemotePELoader, ані RemotePE не були завантажені на VirusTotal до моменту публікації звіту — непрямий індикатор того, що інструмент застосовувався вибірково проти обмеженої кількості цілей.

Можливості трояна RemotePE

Фінальний модуль RemotePE є повнофункціональним трояном віддаленого доступу, який підтримує шість категорій команд:

  • Керування конфігурацією C2-сервера (отримання та зміна)
  • Керування робочим каталогом і DLL-модулями (реєстрація, вивантаження, перерахування)
  • Файлові операції
  • Керування процесами (перерахування, створення, завершення за ідентифікатором)
  • Керування станом (перехід у режим очікування на заданий інтервал або завершення роботи)
  • Перевірка зв’язку з сервером (ping)

Окремої уваги заслуговує механізм видалення файлів: перед видаленням кожен файл перезаписується сталими байтами сім разів, потім перейменовується і лише після цього видаляється. Цей патерн семиразового перезапису, за даними дослідників, ідентичний поведінці, раніше зафіксованій у PondRAT і POOLRAT (також відомому як SIMPLESEA) — інструментах, які пов’язують із тим самим кластером активності.

Контекст кампанії та атрибуція

Fox-IT вперше згадала RemotePE у вересні 2025 року в контексті атаки на неназвану організацію із сектору децентралізованих фінансів (DeFi). Під час того інциденту, як повідомляється, було розгорнуто три сімейства шкідливого ПЗ: PondRAT, ThemeForestRAT і RemotePE.

Початковий вектор проникнення — соціальна інженерія. Зловмисники зв’язалися зі співробітником цільової організації через Telegram, представившись працівником торговельної компанії, і призначили зустріч із використанням підроблених доменів, що імітують сервіси Calendly та Picktime.

Дослідники Fox-IT отримали чотири зразки RemotePE, аналіз яких вказує на активну розробку трояна в період із середини 2023 до середини 2024 року. Найраніший зразок має часову мітку 4 липня 2023 року.

Важливе застереження: атрибуція цієї активності угрупованню Lazarus ґрунтується на аналізі єдиного дослідницького джерела — Fox-IT. Незалежного підтвердження цього зв’язку від державних агентств чи інших дослідницьких організацій на момент публікації не представлено. Втім, збіг патернів видалення файлів із раніше задокументованими інструментами цього кластера та характерний фокус на криптовалютному секторі роблять цю оцінку обґрунтованою.

Індикатори компрометації

На основі опублікованого аналізу доступний такий мережевий індикатор:

  • Домен C2: aes-secure[.]net — використовується RemotePELoader для завантаження фінального модуля по HTTP

Рекомендації щодо захисту

З огляду на безфайловий характер RemotePE та застосовувані техніки обходу, стандартні засоби захисту можуть виявитися недостатніми. Рекомендовані заходи:

  • Мережевий моніторинг: додати домен aes-secure[.]net до блокувальних списків на рівні DNS і проксі-серверів. Налаштувати сповіщення на HTTP-з’єднання з цим доменом.
  • Контроль DPAPI: відстежувати аномальні виклики CryptUnprotectData з нетипових процесів — це може вказувати на роботу DPAPILoader. Звернути увагу на завантаження DLL з назвою «Iassvc.dll» із нестандартних розташувань.
  • Захист від патчингу ETW: використовувати рішення, здатні детектувати модифікацію ETW-провайдерів у рантаймі. Низка сучасних EDR-платформ надає таку функціональність.
  • Моніторинг поведінки в пам’яті: розгорнути або посилити засоби виявлення безфайлових загроз, зокрема аналіз аномальних патернів виділення пам’яті та прямих системних викликів (характерних для Hell’s Gate).
  • Протидія соціальній інженерії: провести цільове інформування співробітників, які працюють із криптоактивами, про схеми контакту через Telegram із використанням підроблених доменів для планування зустрічей.
  • Ретроспективний аналіз: перевірити мережеві журнали за період із листопада 2023 року на предмет звернень до вказаного домену C2.

Фреймворк RemotePE демонструє цілеспрямовані інвестиції в інструментарій для довгострокової прихованої присутності в інфраструктурі фінансових організацій. Низький рівень виявлення та вибіркове застосування вказують на те, що цей набір інструментів зарезервований для високоцінних цілей. Організаціям із криптовалютного та фінансового секторів слід пріоритизувати перевірку мережевих журналів на наявність звернень до aes-secure[.]net, посилити моніторинг аномальних DPAPI-операцій і переконатися, що використовувані EDR-рішення здатні детектувати техніки прямих системних викликів і патчингу ETW.

Photo of author

CyberSecureFox Editorial Team

Редакція CyberSecureFox висвітлює новини кібербезпеки, уразливості, malware-кампанії, ransomware-активність, AI security, cloud security та security advisories вендорів. Матеріали готуються на основі official advisories, даних CVE/NVD, сповіщень CISA, публікацій вендорів і відкритих звітів дослідників. Статті перевіряються перед публікацією та оновлюються за появи нових даних.

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

CyberSecureFox

© 2026 INFO

Про сайт

Про нас

Автори

Контакти

Редакція

Редакційні стандарти

Виправлення

Правова інформація

Політика конфіденційності

Умови використання