Для правоохранительных органов и регулятора
Наш Telegram канал
Техническая поддержка
Техподдержка в Telegram
По всем вопросам
Специалисты по кибербезопасности Fox-IT зафиксировали новый инструмент в арсенале северокорейской Lazarus Group — троян RemotePE, работающий исключительно в оперативной памяти и не оставляющий следов на жёстком диске. Атаки направлены против сотрудников криптопроектов и начинаются с поддельных деловых встреч в Telegram. За девять лет хакеры, связанные с Северной Кореей, похитили криптовалюту на сумму свыше $6 млрд — и новый инструмент указывает на то, что уровень технической sophistication группы продолжает расти.
Точка входа — социальная инженерия, и здесь Lazarus Group действует методично. Злоумышленники выходят на потенциальных жертв через Telegram, представляясь сотрудниками трейдинговых компаний. Легенда правдоподобна: деловые переговоры через мессенджер — норма для криптоиндустрии, где большая часть профессиональных коммуникаций происходит именно там.
Следующий шаг — отправка ссылки на поддельные страницы сервисов Calendly или Picktime якобы для согласования времени встречи. Оба сервиса широко используются для планирования деловых звонков и не вызывают подозрений у большинства пользователей. После того как жертва подтверждает встречу, запускается цепочка заражения.
Выбор именно этих сервисов в качестве прикрытия не случаен. Calendly и Picktime ассоциируются с легитимной корпоративной коммуникацией, их интерфейс знаком профессионалам индустрии, а сам факт «подтверждения встречи» создаёт у жертвы ощущение завершённого рутинного действия — а не точки, в которой что-то пошло не так. Это классический принцип социальной инженерии: встроить вредоносное действие в привычный поведенческий сценарий.
После заражения атака разворачивается в несколько этапов, каждый из которых разработан с учётом обхода конкретных защитных механизмов.
Этап первый — DPAPILoader. На устройство жертвы загружается компонент, использующий встроенный механизм Windows DPAPI (Data Protection API) — системный интерфейс, предназначенный для шифрования и расшифровки данных приложений. Злоупотребление DPAPI позволяет расшифровать вредоносный код, используя легитимные системные функции. Это усложняет обнаружение: антивирусное ПО видит системный вызов, а не явно вредоносную операцию.
Этап второй — RemotePELoader. Второй компонент устанавливает соединение с управляющим сервером (C2) и загружает основной троян непосредственно в оперативную память компьютера. Ключевое слово здесь — «непосредственно»: файл трояна никогда не записывается на жёсткий диск.
Именно это делает RemotePE технически сложной целью для обнаружения. Большинство антивирусных решений и систем обнаружения угроз ориентированы на анализ файловой системы — они сканируют файлы при записи, запуске или изменении. Если вредоносный код существует только в RAM и никогда не касается диска, традиционный антивирусный подход оказывается слеп к нему по архитектурным причинам, а не из-за неэффективности конкретного продукта.
Для аналитиков, расследующих инциденты постфактум, ситуация ещё сложнее: при перезагрузке устройства содержимое оперативной памяти очищается, и большая часть криминалистических следов уничтожается автоматически. Forensic-анализ в таких случаях требует либо захвата образа памяти в момент активного заражения, либо анализа сетевого трафика — то есть инструментов, которые есть далеко не у всех организаций.
По оценке аналитиков Fox-IT, RemotePE разработан не для немедленной кражи активов, а для длительного скрытого присутствия в инфраструктуре жертвы. Это принципиальное отличие от менее сложных атак, которые стремятся максимально быстро вывести средства и исчезнуть.
Логика долгосрочного присутствия понятна в контексте целей Lazarus Group. Криптопроект — это не просто кошелёк с балансом. Это инфраструктура с горячими и холодными кошельками, мультиподписями, ключами доступа к биржевым аккаунтам, внутренними системами управления ликвидностью и коммуникациями между подписантами. Немедленная атака на один компонент часто даёт меньше, чем несколько недель наблюдения, в течение которых хакеры:
Именно поэтому факт компрометации нередко обнаруживается уже после кражи — иногда спустя недели или месяцы после первоначального заражения.
По данным TRM Labs, специализирующейся на блокчейн-разведке и кибербезопасности, совокупная стоимость криптовалют, похищенных северокорейскими хакерами за девять лет, превысила $6 млрд. Для контекста: это сопоставимо с годовым бюджетом ряда небольших государств — и является одним из крупнейших задокументированных случаев государственного киберграбежа в истории.
Важно понимать, что для КНДР эти операции — не криминальная самодеятельность, а элемент государственной экономической политики. Международные санкции отрезали страну от традиционных финансовых рынков, и криптовалютные кражи стали одним из основных механизмов валютных поступлений для финансирования военных и ядерных программ. Это объясняет, почему уровень технической оснащённости группы и объём вложений в разработку инструментов вроде RemotePE несопоставимы с обычными киберпреступными группировками — за операциями стоит государственный ресурс.
Технические особенности новой атаки позволяют сформулировать конкретные рекомендации — как для организаций, так и для частных лиц, работающих в криптоиндустрии.
Верификация контактов. Любой незнакомый контакт в Telegram, предлагающий деловую встречу через Calendly или аналогичный сервис, требует независимой проверки. Достаточно найти официальный сайт компании и написать напрямую — не через тот же аккаунт в мессенджере.
EDR вместо традиционного антивируса. Решения класса EDR (Endpoint Detection and Response) умеют мониторить аномальную активность в оперативной памяти и подозрительные сетевые соединения — в отличие от классических антивирусов, ориентированных на файловый анализ. Для организаций, работающих с криптоактивами, переход на EDR — не опция, а необходимость.
Сегрегация устройств. Компьютеры, используемые для управления горячими кошельками и подписания транзакций, не должны использоваться для общей коммуникации, включая Telegram. Физическая или логическая изоляция критичных систем существенно сужает поверхность атаки.
Осведомлённость команды. Атака начинается с человека, а не с уязвимости в коде. Регулярный инструктаж сотрудников о методах социальной инженерии — особенно в отношении неожиданных деловых предложений от незнакомых контактов — остаётся наиболее экономически эффективной мерой защиты.
Lazarus Group не изобрела принципиально новый вектор атаки — социальная инженерия через мессенджеры применяется уже несколько лет. Но RemotePE представляет собой качественный шаг вперёд в части уклонения от обнаружения. Индустрия, привыкшая к тому, что главная угроза — это уязвимости смарт-контрактов, продолжает недооценивать атаки на человека и конечные устройства. Именно этот разрыв между реальным вектором угроз и сложившейся культурой безопасности Lazarus Group эксплуатирует последовательно и эффективно.
Этот веб-сайт использует файлы cookie, чтобы обеспечить удобную работу пользователей с ним и функциональные возможности сайта. Продолжая использовать этот сайт, Вы соглашаетесь с использованием файлов cookie