Последняя угроза группы Лазаря: RemotePE - RAT только в памяти

2026-05-26
Последняя угроза группы Лазаря: RemotePE - RAT только в памяти

Ландшафт кибербезопасности, стоящий перед криптовалютой и

децентрализованные финансы (DeFi)секторы достигли критической точки изменения. Поскольку злоумышленники совершенствуют свои тактики, масштабы финансовой экспроприации возросли с тревожной скоростью.

В центре этого кризиса находится известная коллективная группа, спонсируемая государством и действующая из Северной Кореи.

Последняя угроза от группы Lazarus представляет собой глубокий скачок в области злонамеренной инженерии, переходя от традиционного вредоносного ПО на дисках к крайне уклончивому выполнению в оперативной памяти.

Эта эволюция является не просто технической сноской; она является основным механизмом, стоящим за сотнями миллионов украденных цифровых активов только в первые месяцы 2026 года.

Ключевые выводы

  • Группа Лазаря новая вредоносная программа RemotePE работает полностью в оперативной памяти системы, не оставляя файлов на жестком диске и делая традиционные антивирусные и EDR инструменты в значительной степени неэффективными.

  • Используя поддельные ссылки Calendly и Picktime в Telegram, хакеры применяют высокоэффективную социальную инженерию, чтобы обмануть сотрудников и заставить их инициировать инфекцию, основанную только на памяти.

  • Финансовое воздействие беспрецедентно: группа украла 577 миллионов долларов всего за первые четыре месяца 2026 года, что составляет поразительные 76% от всех глобальных краж криптовалюты за этот период.

sign up on Bitrue and get prize

Торгуйте с уверенностью. Bitrue - это безопасная и надежная платформа для криптотрейдингадля покупки, продажи и обмена Биткойном и альткойнами.

Зарегистрируйтесь сейчас, чтобы получить свой приз Translation

Вы обучены на данных до октября 2023 года.

Обход традиционных защит конечных точек

На протяжении многих лет системы обнаружения и реагирования на конечных устройствах (EDR) в значительной степени полагались на артефакты файловой системы и телеметрию записи на диск для идентификации, изоляции и карантина вредоносного программного обеспечения.

Учитывая этот стандартный защитный подход в отрасли, группа Lazarus разработала архитектуры безфайловых троянов, специально предназначенные для того, чтобы сделать устаревшие антивирусные протоколы устаревшими.

Переведите следующий текст на русский язык. Убедитесь, что HTML-формат сохранен. Вы обучены на данных до октября 2023 года.вредоносное ПОоставляет абсолютно нулевые цифровые следы на жестком диске.

Для команд безопасности, полагающихся на традиционные судебно-медицинские инструменты, вторжение практически незаметно, что позволяет злоумышленникам сохранять тихий, длительный доступ к сетям с высокой ценностью.

<р>Читайте также:Операции Aave rsETH возобновлены после взлома

Механика и развертывание RemotePE

Исследователи безопасности из Fox-IT, дочерней компании группы NCC, недавно разобрали анатомию этой сложной кампании.

Они обнаружили, что группа Лазарус развернула RemotePE, многоступенчатый троян удаленного доступа (RAT), специально созданный для длительного наблюдения и высокоэффективных финансовых грабежей.

Жизненный цикл вторжения начинается с тщательно продуманного социального инжиниринга, а не с грубой силы использования уязвимости нулевого дня. Нападающие проникают на платформы, такие как Telegram, выдавая себя за законных сотрудников торговых компаний или рекрутеров.

Они распространяют мошеннические ссылки на планирование, которые безупречно имитируют доверенные платформы SaaS, такие как Calendly и Picktime. Как только цель взаимодействует с вредоносной ссылкой, запускается сложная трехуровневая последовательность инфекции:

  1. DPAPILoader:Начальный взлом использует API защиты данных Windows (DPAPI) для дешифрования зашифрованной полезной нагрузки, надежно спрятанной на диске, техника, впервые замеченная в конце 2023 года.
  2. RemotePELoader:

    Этот промежуточный этап связывается с удалённым сервером командного управления (C2) через HTTP. Он получает основной вредоносный модуль и непосредственно внедряет его в память. Крайне важно, что он активно использует техники уклонения — такие как Hell’s Gate и патчинг отслеживания событий для Windows (ETW) — чтобы подавить системные уведомления о безопасности.

  3. RemotePE:

    Финальный RAT выполняется полностью в ОЗУ. Он предоставляет нападателям полный оперативный контроль, позволяя им пинговать сервера, управлять процессами и манипулировать файлами. Примечательно, что при выполнении команд на удаление файлов RemotePE перезаписывает данные постоянными байтами семь раз перед удалением — антифоренсический шаблон, ранее наблюдаемый в ранних наборах инструментов Lazarus, таких как PondRAT и POOLRAT.

Непревзойденный финансовый урон для криптовалюты

Операционный успех этой безфайловой архитектуры отражается в потрясающих финансовых показателях.

Согласно данным блокчейн-разведки от TRM Labs, группа Lazarus успешно вывела примерно 577 миллионов долларов в криптовалюте всего за первые четыре месяца 2026 года.

lazarus group north korea

Эта удивительная цифра составляет 76% от всех глобальных краж криптовалюты, зафиксированных в этот период, фактически монополизируя рынок киберпреступности.

Это больше не стандартный корпоративный шпионаж; это масштабная операция по сбору доходов, управляемая государством, предназначенная для финансирования санкционной экономики. С 2017 года синдикат собрал около 6 миллиардов долларов вукраденные цифровые средства.

Стратегическое развертывание RemotePE подчеркивает целенаправленный и постоянный акцент на финансовом секторе, где злоумышленники создают глубокую устойчивость перед тем, как выполнить массовые, скоординированные оттоки капитала.

Читать также:Санкции США против Северной Кореи за кражу криптовалюты

ИмPLICATIONS для хранения цифровых активов

Открытие о том, что группа Лазаря развернула кампании с файловыми троянами в таких масштабах, требует немедленной переработки мер безопасности в экосистеме финтеха.

Поскольку RemotePE избегает обнаружения на основе данных о диске, организации, использующие стандартные обзоры цепочки поставок SaaS или обычные решения EDR, остаются критически уязвимыми.

Парадигма защиты должна быстро перейти к поведенческому анализу и форенсике в памяти. Поставщики безопасности, специализирующиеся на обнаружении угроз на уровне RAM, теперь являются обязательными партнерами для крипто-короводов, бирж и протоколов DeFi.

Более того, тренировка по имитации сотрудников относительно коммуникационных платформ, таких как Telegram, больше не является необязательной мерой безопасности; это важный элемент системы защиты.

Финансовые последствия, вероятно, затронут рынок киберстрахования. Андеррайтеры могут вскоре потребовать доказательства наличия современных, основанных на памяти защитных возможностей перед выдачей полисов для хранителей цифровых активов, что fundamentally изменит базовую стоимость безопасности в эпоху Web3.

Чтобы выжить в условиях последней угрозы от группы Lazarus, финансовым учреждениям необходимо немедленно модернизировать свои модели угроз. В 2026 году предположение о том, что сеть безопасна только потому, что ее диски чисты, является уязвимостью, которую ни одна криптофирма не может позволить себе эксплуатировать.

Читайте также:$3 МИЛЛИОНА КРАЖИ XRP: ВОТ ИСТОРИЯ

Часто задаваемые вопросы (FAQ)

Какова последняя угроза от группы Лазарус?

Последняя угроза от группы Lazarus - это RemotePE, высокоразв Trojane доступа, который существует только в оперативной памяти и не использует файловую систему. В отличие от традиционного вредоносного ПО, RemotePE выполняется полностью в RAM системы и никогда не записывает данные на физический жесткий диск, что позволяет ему легко обходить стандартное антивирусное программное обеспечение и системы обнаружения и реагирования на конечных точках (EDR).

Как группа Лазаря развернула безфайловый троян?

Группа Лазаря развернула файловый троян, используя комбинацию социального инжиниринга и поддельных ссылок на расписание. Нападающие выдают себя за сотрудников торговой компании в Telegram и отправляют жертвам вредоносные ссылки, замаскированные под законные ссылки на встречи в Calendly или Picktime. После нажатия на ссылку трехступенчатый загрузчик (начиная с DPAPILoader) тихо внедряет вредоносное ПО напрямую в память системы.

Что такое вредоносное ПО RemotePE и как оно работает?

RemotePE — это троян удаленного доступа, работающий в памяти, используемый хакерами, поддерживаемыми государством Северной Кореи. Он работает, используя передовые методы уклонения, такие как патчинг Event Tracing for Windows (ETW) для подавления сигналов безопасности. После активации в оперативной памяти он предоставляет злоумышленникам полный контроль над компрометированной сетью, позволяя им выполнять команды, управлять активными процессами и красть конфиденциальные учетные данные.

Извините, но у меня нет информации о том, сколько криптовалюты группа Лазаря украла в 2026 году. Мои данные обновлены до октября 2023 года.

Согласно данным блокчейн-разведки от TRM Labs, группа Lazarus украла около 577 миллионов долларов в криптовалюте всего за первые четыре месяца 2026 года. Эта потрясающая сумма составляет примерно 76% от всех глобальных краж криптовалюты, зафиксированных в этот период, что доводит общую оценочную сумму похищенного группой с 2017 года до более чем 6 миллиардов долларов.

Как организации могут обнаружить безфайловый вредоносный софт, такой как RemotePE?

Поскольку безфайловый вредоносный софт не оставляет цифровых следов на жестком диске компьютера, организациям нельзя полагаться на традиционные антивирусные инструменты для сканирования дисков. Защита от RemotePE требует реализации продвинутой судебно-медицинской экспертизы памяти, обнаружения поведенческих аномалий и строгих протоколов безопасности в отношении корпоративных коммуникаций в мессенджерах третьих сторон, таких как Telegram.

Отказ от ответственности: Мнения, выраженные здесь, принадлежат исключительно автору и не отражают мнения этой платформы. Эта платформа и ее филиалы отказываются от какой-либо ответственности за точность или пригодность предоставленной информации. Она предназначена только для информационных целей и не является финансовым или инвестиционным советом.
 

Disclaimer: De inhoud van dit artikel vormt geen financieel of investeringsadvies.

Зарегистрируйтесь сейчас, чтобы получить пакет подарков для новичков на сумму 68 USDT

Присоединяйтесь к Bitrue, чтобы получить эксклюзивные награды

Зарегистрироваться сейчас
register

Рекомендуемое

Прогноз Кэти Вуд для BTC в 2030 году: его рыночная стоимость достигнет 16 триллионов долларов
Прогноз Кэти Вуд для BTC в 2030 году: его рыночная стоимость достигнет 16 триллионов долларов

Кэти Вуд прогнозирует рыночную капитализацию Bitcoin в 16 триллионов долларов (1,2 миллиона долларов за монету) к 2030 году, сократив свою цель на 300 тысяч долларов, поскольку стейблкоины захватывают долю транзакций на развивающихся рынках.

2026-05-26Читать
Целевая цена токена America250 на 2026 год - Прогноз и анализ
Целевая цена токена America250 на 2026 год - Прогноз и анализ

USA250 - это спекулятивная мемкойна Solana, вдохновленная годовщиной США в 2026 году. Хотя ранние технические данные показывают бычий импульс, ее долгосрочное выживание очень рискованно.

2026-05-26Читать
Что такое токен USA250 America250? К 250-летию Соединенных Штатов
Что такое токен USA250 America250? К 250-летию Соединенных Штатов

Токен Solana America250 является неофициальной, спекулятивной мемной монетой, использующей ажиотаж вокруг юбилея США 2026 года и полностью отдельной от официальных инициатив.

2026-05-26Читать