تهديد مجموعة لازاروس الأخير: RAT الذاكرة-only RemotePE
2026-05-26
يواجه مشهد الأمن السيبراني خاصّة العملات المشفّرة و
التمويل اللامركزي (DeFi)لقد وصلت القطاعات إلى نقطة التحول الحرجة. حيث أن الجناة يطورون أساليبهم، قد زادت بشكل مقلق نسبة النهب المالي بشكل كبير.
في مركز هذه الأزمة توجد جماعة سيئة السمعة ترعاها الدولة تعمل خارج كوريا الشمالية.
هذا التطور ليس مجرد هامش تقني؛ بل هو الآلية الأساسية خلف مئات الملايين من الأصول الرقمية المسروقة في الأشهر الأولى من عام 2026 وحده.
النقاط الأساسية
- تعمل برمجيات malware الجديدة RemotePE التابعة لمجموعة Lazarus بالكامل داخل ذاكرة النظام (RAM)، مما يعني أنها لا تترك أي ملفات على القرص الصلب وتُعَزِّز من عدم فعالية أدوات مكافحة الفيروسات التقليدية وأدوات الكشف والاستجابة النهائية (EDR).
- من خلال استخدام روابط وهمية لـ Calendly و Picktime على تيليجرام، يستخدم القراصنة الهندسة الاجتماعية المستهدفة بشكل كبير لخداع الموظفين لبدء العدوى التي تعتمد فقط على الذاكرة.
التأثير المالي غير مسبوق، حيث سرق المجموعة 577 مليون دولار في الأشهر الأربعة الأولى من عام 2026 فقط، مما يمثل 76% مذهل من إجمالي سرقات العملات المشفرة على مستوى العالم خلال تلك الفترة.
تداول بثقة. بيترو هو منصة آمنة وموثوقة منصة تداول العملات الرقميةلشراء وبيع وتبادل البيتكوين والعملات البديلة.
سجل الآن للمطالبة بجائزتك!
تجاوز الدفاعات التقليدية للنقاط النهائية
لسنوات، اعتمدت أنظمة اكتشاف الاستجابات للانقاط (EDR) بشكل كبير على آثار نظام الملفات وت telemetry كتابة القرص لتحديد وعزل وحجر البرمجيات الخبيثة.
بالإشارة إلى هذا الموقف الدفاعي المعتمد في هذه الصناعة، قامت مجموعة لازاروس بنشر هياكل تروجان بلا ملفات مصممة خصيصًا لجعل بروتوكولات مكافحة الفيروسات القديمة غير فعالة.
من خلال العمل بالكامل ضمن ذاكرة الوصول العشوائي (RAM) لنظام مخترق، فإن هذه الفئة الجديدة من
برامج خبيثة
يترك صفرًا مطلقًا من آثار الإنترنت على القرص الصلب.للفرق الأمنية التي تعتمد على الأدوات الجنائية التقليدية، فإن اختراق الشبكة يعد غير مرئي تقريبًا، مما يسمح لمرتكبي التهديدات بالحفاظ على وصول هادئ وطويل الأمد إلى الشبكات عالية القيمة.
آليات ونشر RemotePE
قام باحثو الأمن من Fox-IT، وهي شركة تابعة لمجموعة NCC، مؤخرًا بتفكيك هيكل هذه الحملة المتطورة.
اكتشفوا أن مجموعة لازاروس نشرت RemotePE، وهو حصان طروادة للوصول عن بُعد متعدد المراحل مصمم خصيصًا للمراقبة المستمرة وعمليات السطو المالي ذات التأثير العالي.
دورة حياة الاختراق
تبدأ دورة حياة الاختراق بتخطيط دقيق للهندسة الاجتماعية بدلاً من استغلال ثغرات زيرو داي brute-force. يقوم المهاجمون بالتسلل إلى منصات مثل تيليجرام، متظاهرين كموظفين في شركات تجارية مشروعة أو مجندين.
يتم توزيع روابط جدولة احتيالية تُحاكي بشكل مثالي منصات SaaS الموثوقة مثل Calendly و Picktime. بمجرد أن يتفاعل الهدف مع الرابط الضار، تبدأ سلسلة إصابة معقدة من ثلاث طبقات:
ديبا بي إيه لوادر: يستخدم الاختراق الأول واجهة برمجة التطبيقات لحماية بيانات ويندوز (DPAPI) لفك تشفير حمولة مشفرة مخفية بشكل آمن على القرص، وهي تقنية تم رصدها لأول مرة في أواخر عام 2023.
RemotePELoader: تتصل هذه المرحلة الوسيطة بخادم القيادة والتحكم (C2) عن بُعد عبر HTTP. تسترجع الوحدة الضارة الأساسية وتحقنها مباشرة في الذاكرة. ومن المهم، أنها تستخدم بنشاط تقنيات التهرب—مثل بوابة الجحيم وتصحيح تتبع الأحداث لنظام ويندوز (ETW)—للقضاء على تنبيهات الأمان النظامية.
- RemotePE:
يتم تنفيذ RAT النهائي بالكامل في الذاكرة العشوائية (RAM). يمنح المهاجمين السيطرة التشغيلية الكاملة، مما يسمح لهم بإرسال طلبات صدى للخوادم، وإدارة العمليات، والتلاعب بالملفات. من الجدير بالذكر أنه عند تنفيذ أوامر حذف الملفات، يقوم RemotePE بكتابة البيانات ببايتات ثابتة سبع مرات قبل الحذف - وهو نمط مضاد للتحقيق تم ملاحظته سابقًا في أدوات Lazarus السابقة مثل PondRAT و POOLRAT.
التكلفة المالية غير المسبوقة على العملات المشفرة
وفقًا لبيانات الذكاء المتعلقة بسلسلة الكتل من TRM Labs، تمكنت مجموعة لزاروس من siphoned حوالي 577 مليون دولار من العملات الرقمية خلال الأشهر الأربعة الأولى فقط من عام 2026.
هذا لم يعد تجسساً شركاتياً قياسياً؛ إنه عملية إيرادات واسعة النطاق تديرها الدولة مصممة لتمويل اقتصاد مفروض عليه عقوبات. منذ عام 2017، جمعت الشبكة تقديراً يصل إلى 6 مليارات دولار في
يشير النشر الاستراتيجي لـ RemotePE إلى تركيز متعمد وذو طابع مستمر على القطاع المالي، حيث يقوم الجناة بإنشاء استمرارية عميقة قبل تنفيذ عمليات سحب رأس المال الضخمة والمنسقة.
اقرأ أيضًا:الولايات المتحدة تفرض عقوبات على كوريا الشمالية بسبب سرقة العملات المشفرة
التداعيات على حفظ الأصول الرقمية
تكشف المعلومات أن مجموعة Lazarus قامت بنشر حملات طروادة خالية من الملفات بهذا الحجم، مما يتطلب إعادة ضبط فورية لمواقف الأمان عبر نظام التقنية المالية.
لأن RemotePE يتجنب الكشف القائم على القرص، فإن المؤسسات التي تستخدم مراجعات سلسلة التوريد القياسية كخدمة (SaaS) أو حلول الكشف والاستجابة النهائية التقليدية (EDR) تظل معرضة بشكل خطير.
يجب أن يتحول نموذج الدفاع بسرعة نحو تحليل السلوك والتحقيقات في الذاكرة. أصبح بائعو الأمن المتخصصين في الكشف عن التهديدات على مستوى الذاكرة (RAM) شركاء أساسيين لحراس العملات المشفرة، والبورصات، وبروتوكولات التمويل اللامركزية (DeFi).
علاوة على ذلك، أصبحت تدريبات انتحال شخصية الموظف المتعلقة بمنصات التواصل مثل تيليجرام ليست مجرد متطلبات نظافة اختيارية، بل هي عنصر أمان حيوي.
من المرجح أن تمتد التبعات المالية إلى سوق التأمين السيبراني. قد يطلب المكتتبون قريبًا إثبات قدرات دفاعية متقدمة تعتمد على الذاكرة قبل إصدار تغطية لأمن الأصول الرقمية، مما سيغير بشكل أساسي التكلفة الأساسية للأمان في عصر Web3.
<p>للبقاء على قيد الحياة في التهديد الأخير من مجموعة لازاروس، يجب على المؤسسات المالية تحديث نماذج التهديد الخاصة بها على الفور. في عام 2026، فإن افتراض أن الشبكة آمنة لمجرد أن أقراصها نظيفة هو ضعف لا يمكن لأي شركة تشفير تحمل استغلاله.</p>
سرقة الـ 3 مليون دولار من XRP: إليك القصة
FAQ
ما هو أحدث تهديد من مجموعة لازاروس؟
< ترجمة > أحدث تهديد من مجموعة لازاروس هو RemotePE، وهو حصان طروادة للوصول عن بُعد (RAT) عالي التعقيد "ذاكرة فقط" أو بلا ملفات. على عكس البرمجيات الخبيثة التقليدية، يقوم RemotePE بالتنفيذ بالكامل داخل ذاكرة الوصول العشوائي للنظام (RAM) ولا يكتب أبدًا بيانات إلى القرص الصلب الفعلي، مما يسمح له بتجاوز بسهولة برامج مكافحة الفيروسات العادية وأنظمة الكشف والاستجابة للنقاط النهائية (EDR).
كيف قامت مجموعة لازاروس بتنفيذ التروجان الخالي من الملفات؟
تم نشر مجموعة Lazarus حصان طروادة بدون ملفات باستخدام مزيج من الهندسة الاجتماعية وروابط جدولة مزيفة. يتنكر المهاجمون في صورة موظفي شركة تداول على تطبيق تيليجرام ويرسلون للضحايا روابط خبيثة متنكرة كروابط اجتماعات شرعية من Calendly أو Picktime. بمجرد النقر عليها، يقوم محمل من ثلاث مراحل (يبدأ بـ DPAPILoader) بحقن البرمجيات الخبيثة بهدوء مباشرة في ذاكرة النظام.
ما هو برنامج خبيث RemotePE وكيف يعمل؟
RemotePE هو برنامج Trojan للوصول عن بعد يقيم في الذاكرة يستخدمه قراصنة مدعومون من الدولة الكورية الشمالية. يعمل من خلال استخدام تقنيات تفادي متقدمة، مثل تصحيح تتبع الأحداث في ويندوز (ETW) لكتم تنبيهات الأمان. بمجرد أن يصبح نشطًا في الذاكرة، فإنه يمنح المهاجمين السيطرة الكاملة على الشبكة المخترقة، مما يمكنهم من تنفيذ الأوامر، وإدارة العمليات النشطة، وسرقة المعلومات الحساسة.
كم مقدار العملات المشفرة التي سرقها مجموعة لازاروس في عام 2026؟
وفقًا لبيانات ذكاء البلوكشين من مختبرات TRM، سرق مجموعة لازاروس حوالي 577 مليون دولار من العملات المشفرة خلال الأشهر الأربعة الأولى من عام 2026 فقط. تشكل هذه الرقم المذهل حوالي 76% من إجمالي سرقات العملات المشفرة المسجلة عالميًا خلال تلك الفترة، مما يرفع إجمالي المبلغ المقدر الذي سرقته المجموعة منذ عام 2017 إلى أكثر من 6 مليارات دولار.
كيف يمكن للمنظمات اكتشاف البرمجيات الخبيثة بدون ملفات مثل RemotePE؟
لأن البرمجيات الخبيثة بدون ملفات لا تترك أي أثر رقمي على القرص الصلب للكمبيوتر، لا يمكن للمنظمات الاعتماد على أدوات مكافحة الفيروسات التقليدية التي تعتمد على فحص القرص. يتطلب الدفاع ضد RemotePE تنفيذ أدوات الطب الشرعي المتقدمة في الذاكرة، والكشف عن السلوكيات الشاذة، واتباع بروتوكولات أمنية صارمة فيما يتعلق بالاتصالات التجارية على تطبيقات الرسائل التابعة لأطراف ثالثة مثل تيليجرام.
تنبيه: الآراء المعبر عنها تخص المؤلف حصراً ولا تعكس آراء هذه المنصة. كما تتخلى هذه المنصة وشركاؤها عن أي مسؤولية تتعلق بدقة أو ملاءمة المعلومات المقدمة. هي لأغراض معلوماتية فقط وليست مقصودة كنصائح مالية أو استثمارية.
إخلاء المسؤولية: محتوى هذه المقالة لا يشكل نصيحة مالية أو استثمارية.
