Исследователи описали новую цепочку вредоносных инструментов, связанную с Lazarus. Она нацелена на финансовые организации и криптовалютные компании. Главная часть набора — RemotePE, троян удаленного доступа, который выполняется в оперативной памяти и не сохраняется как обычный исполняемый файл на диске.
Цепочка состоит из трех компонентов: DPAPILoader, RemotePELoader и RemotePE.
-
DPAPILoader – загрузчик первого этапа, отвечающий за расшифровку полезных нагрузок, связанных с DPAPI-ключами, специфичными для конкретного объекта атаки.
-
RemotePELoader – это загрузчик второго этапа, который извлекает полезную нагрузку из инфраструктуры управления и контроля.
-
RemotePE – Заключительный этап RAT-программы, работающей в оперативной памяти и никогда не записывающей данные на диск.
Интерес здесь не в названии нового RAT. Важнее техника: привязка к конкретной машине, выполнение без записи основного payload на диск, обход пользовательских хуков EDR, подавление событий ETW и шифрованный обмен с сервером управления. Это не «массовая рассылка трояна», а инструмент для долгого присутствия в выбранной инфраструктуре.
PolySwarm описала вредоносную экосистему, связанную с Lazarus, 29 мая 2026 года. Ранее Fox-IT выпустила технический разбор той же цепочки и указала, что инструмент обнаружили во время расследований инцидентов у организаций из финансового и криптовалютного сектора.
Цепочка выглядит так:
DPAPILoader закрепляется в системе и расшифровывает следующий компонент.
RemotePELoader получает конфигурацию, выходит на управляющий сервер и ждёт payload.
RemotePE загружается в память и работает как основной троян удалённого доступа.
RAT — это remote access trojan, троян удаленного доступа. Такой инструмент позволяет оператору выполнять команды, работать с файлами, запускать процессы, загружать дополнительные модули и передавать данные наружу. RemotePE делает это без классического сценария «лежит файл на диске — антивирус его нашёл — файл удалили». Основная нагрузка загружается и выполняется в памяти.
DPAPILoader нашли в одном из инцидентов как файл C:\Windows\System32\Iassvc.dll. Он был подключен к службе Windows с названием Internet Authentication Service. Такое имя выглядит правдоподобно: в Windows Server действительно есть компонент IAS, а легитимная DLL называется iassvcs.dll. Вредоносный файл отличался одной буквой.
Это старая, но рабочая идея: спрятаться рядом с настоящими системными компонентами и выглядеть как часть Windows. Служба запускалась через svchost.exe, что давало злоумышленникам постоянный запуск после перезагрузки.
DPAPILoader искал файлы в каталоге:
C:\ProgramData\Microsoft\Windows\DeviceMetadataStore\
Обычно там находятся файлы метаданных устройств Microsoft Cabinet. Вредоносный загрузчик пропускал настоящие Cabinet-файлы по сигнатуре MSCF, а остальные объекты проверял по размеру. Подходящий файл расшифровывался через DPAPI, затем дополнительно обрабатывался XOR-операцией с константой 0x8D и загружался в память через библиотеку для reflective PE loading.
DPAPI — встроенный механизм Windows для защиты данных. Ключи привязаны к конкретному пользователю или машине. Для защитников это неприятно: зашифрованный payload, украденный с диска и загруженный в песочницу, может оказаться бесполезным без ключей жертвы. Такой прием называют привязкой к окружению. Образец не раскрывает содержимое вне заражённой системы.
RemotePELoader отвечает за получение RemotePE с управляющей инфраструктуры. Перед сетевой активностью он выполняет действия для обхода средств защиты.
В отчете описаны две важные техники.
Первая — TartarusGate, вариант HellsGate. Это способ находить номера системных вызовов Windows прямо в ntdll.dll и обращаться к ядру напрямую. Так вредоносная программа снижает зависимость от обычных API-вызовов, которые часто перехватывают EDR-системы.
Вторая — патчинг EtwEventWrite(). ETW, или Event Tracing for Windows, — штатный механизм событий Windows. Им пользуются защитные продукты для наблюдения за поведением процессов. RemotePELoader меняет начало функции так, что она сразу возвращает успешный результат и не записывает событие. Для EDR это означает меньше телеметрии там, где она особенно нужна.
Еще один прием — повторное отображение чистых DLL из \KnownDlls. Проще говоря, загрузчик пытается заменить уже загруженные в процесс библиотеки на «чистые» копии и убрать пользовательские хуки защитного ПО. Это не делает систему невидимой полностью, но заметно усложняет обнаружение на уровне процесса.
RemotePELoader берет конфигурацию с диска. В ней могут быть адреса управляющих серверов, прокси, интервалы ожидания, User-Agent и параметры сессии. Обмен идет через HTTP POST, а поля cookie и JSON-ключи подобраны так, чтобы напоминать телеметрию Microsoft.
Первичная проверка использует cookie at_check=true. После успешного контакта сервер отдает идентификатор сессии, который затем передаётся как ai_session. Основная нагрузка приходит не сразу. В тестах исследователей сервер часто молчал до ручного действия оператора. Это похоже на модель actor-in-the-loop: автоматический имплант ждет, а человек на стороне злоумышленников решает, когда отдавать следующий этап.
Когда оператор разрешает доставку, сервер возвращает PE-файл, зашифрованный AES-GCM и закодированный Base64. RemotePELoader расшифровывает его и загружает прямо в память.
AES-GCM — режим шифрования с проверкой целостности. Он нужен для защиты канала от случайной порчи или подмены. В таких инструментах шифрование мешает сетевым средствам защиты быстро понять, какие команды идут между заражённой машиной и сервером.
RemotePE — финальная стадия. Это полноценный модуль удалённого доступа, написанный на C++.
Он запускает два основных потока. Первый отвечает за связь с управляющим сервером. Второй разбирает команды и возвращает результат. Команды объединяются в пакеты, результат сжимается через Microsoft Cabinet API, затем шифруется и отправляется обратно.
Функции RemotePE типичны для инструмента постэксплуатации:
-
он просматривает файловую систему;
-
читает, записывает, переименовывает и удаляет файлы;
-
создает ZIP-архивы для передачи данных;
-
запускает и завершает процессы;
-
выполняет команды;
-
меняет конфигурацию;
-
управляет режимами сна;
-
загружает дополнительные DLL-модули в память.
Отдельная деталь — безопасное удаление файлов. RemotePE перезаписывает файл семь раз, затем переименовывает и удаляет его. Такой шаблон уже встречался у вредоносных семейств PondRAT и POOLRAT, которые ранее связывали с той же группой активности.
Модульная система делает RemotePE особенно опасным для расследования. Оператор может подгружать дополнительные DLL без записи обычного файла на диск. Плагины должны работать как Windows DLL и как reflective shellcode. Это дает злоумышленникам гибкость: базовый RAT остаётся компактным, а нужные функции добавляются под конкретную цель.
Lazarus давно интересуется финансовой инфраструктурой, криптобиржами, DeFi-проектами, платежными компаниями и разработчиками, связанными с цифровыми активами. В таких атаках злоумышленникам нужен тихий доступ, карта инфраструктуры, понимание процессов вывода средств, ключей, кошельков, CI/CD, прав сотрудников и внутренних панелей.
RemotePE хорошо подходит именно для такого сценария. Он не шумит как массовый троян, не полагается на один очевидный файл и привязан к окружению жертвы. Украденный образец сложнее изучить вне зараженной машины. Сетевая активность маскируется под знакомые шаблоны, команды идут шифрованными сообщениями, а часть телеметрии Windows подавляется заранее.
Для защитников это меняет приоритеты. Простого поиска файла по хэшу недостаточно. Нужны поведенческие правила: подозрительное использование DPAPI, неожиданные службы с именами, похожими на системные, изменение EtwEventWrite, прямые системные вызовы, попытки «очистить» DLL от хуков, аномальные HTTP-cookie, длительные интервалы ожидания и загрузка PE в память.
Исследователи связывают новую цепочку с Lazarus-подгруппами, которые в разных классификациях известны как AppleJeus, Citrine Sleet, UNC4736 и Gleaming Pisces. У этих кластеров уже есть история атак на криптовалютные компании и финансовые цели.
Microsoft ранее описывала Citrine Sleet как группу, которая целится в финансовые организации и людей, работающих с криптовалютами. В её арсенале были фальшивые сайты, вредоносные криптоприложения и эксплуатация уязвимостей браузера. MITRE относит AppleJeus к северокорейской активности, связанной с Lazarus, и указывает на криптовалютную индустрию как основное направление.
В феврале 2025 года ФБР заявило, что Северная Корея стоит за кражей примерно $1,5 млрд в виртуальных активах у Bybit. В том сообщении активность названа TraderTraitor.
В отчете PolySwarm приведены SHA-256 образцов, связанных с активностью.
DPAPILoader:
4f6ae0110cf652264293df571d66955f7109e3424a070423b5e50edc3eb43874
aa4a2d1215f864481994234f13ab485b95150161b4566c180419d93dda7ac039
159471e1abc9adf6733af9d24781fbf27a776b81d182901c2e04e28f3fe2e6f3
RemotePELoader:
7a05188ab0129b0b4f38e2e7599c5c52149ce0131140db33feb251d926428d68
RemotePE:
37f5afb9ed3761e73feb95daceb7a1fdbb13c8b5fc1a2ba22e0ef7994c7920ef
6b33d20196267b0d64bca815ca863558d26b17cee77caf62a6cce8eae555ac8d
62e040a32aac2d2faa8d2bffa2cf7ab662228cebf9bb78eaa0a633c0b729d119
710f15302859c7af1c1e25219d704841b3fdbc48f16a5a574d5ab6cf4f4842e8
Хэши полезны для первичной проверки, но в этой истории они не закрывают задачу. DPAPI-привязка, загрузка в память и операторская доставка payload означают, что у разных жертв артефакты могут отличаться.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
