Lazarus Grubu'nun Son Tehdidi: Sadece Bellekte Bulunan RemotePE RAT

Kripto para birimi ve siber güvenlik alanı karşı karşıya.merkeziyetsiz finans (DeFi)sektörler kritik bir dönüm noktasına ulaşmıştır. Tehdit aktörleri taktiklerini geliştirirken, mali el koymanın ölçeği endişe verici bir hızla artmıştır.

Bu krizin merkezinde, Kuzey Kore'den faaliyet gösteren ünlü bir devlet destekli kolektif bulunmaktadır.

Lazarus Grupunun en son tehdidi, zararlı mühendislikte derin bir sıçramayı temsil ediyor ve geleneksel disk tabanlı kötü amaçlı yazılımlardan, son derece kaçak ve bellek içi çalıştırmaya doğru agresif bir kayma gösteriyor.

Bu evrim sadece teknik bir dipnot değil; 2026'nın ilk aylarında çalınan yüz milyonlarca dolarlık dijital varlıkların arkasındaki ana mekanizmadır.

Önemli Noktalar

• Lazarus Grubu'nun yeni RemotePE kötü amaçlı yazılımı, tamamen sistem RAM'inde çalışır, sabit diskte hiçbir dosya bırakmaz ve geleneksel antivirüs ile EDR araçlarını büyük ölçüde etkisiz hale getirir.
• Telegram'da sahte Calendly ve Picktime bağlantılarını kullanarak, hackerlar çalışanları bellek tabanlı enfeksiyonu başlatmaya kandırmak için son derece hedeflenmiş sosyal mühendislik yöntemleri kullanıyorlar.
• Finansal etki benzeri görülmemiştir; grup, yalnızca 2026'nın ilk dört ayında 577 milyon dolarlık bir çalıntı yaparak, bu dönemdeki tüm küresel kripto hırsızlıklarının şaşırtıcı bir şekilde %76'sını oluşturmuştur.

Güvenle ticaret yapın. Bitrue güvenli ve güvenilir bir platformdur. kripto ticaret platformuBitcoin ve altcoin alım, satım ve ticareti için.

Şimdi Kaydolun ve Ödülünüzü Talep Edin

Veri, Ekim 2023'e kadar eğitim aldınız.

Geleneksel Uç Nokta Savunmalarını Atlama

Yıllardır, uç nokta tespiti ve yanıt (EDR) sistemleri, kötü amaçlı yazılımları tanımlamak, izole etmek ve karantinaya almak için dosya sistemi eserlerine ve disk yazma telemetrisine büyük ölçüde güvenmiştir.

Bu endüstri standartı savunma pozisyonunu tanıyarak, Lazarus grubu, eski antivirüs protokollerini etkisiz hale getirmek için özel olarak tasarlanmış dosyasız truva atı mimarilerini kullanıma sundu.

Tamamen bir tehlikeye atılmış sistemin Rastgele Erişim Belleği (RAM) içinde çalışarak, bu yeni sınıfkötü amaçlı yazılımhard diskte kesinlikle sıfır dijital ayak izi bırakır.

Geleneksel adli araçlara bağımlı güvenlik ekipleri için, sızma neredeyse görünmez hale geliyor ve tehdit aktörlerinin yüksek değerli ağlara sessiz ve uzun vadeli erişim sağlamasına olanak tanıyor.

Oku Ayrıca:Aave rsETH Operasyonları Hack'ten Sonra Yeniden Başladı

UzaktanPE'nin Mekanikleri ve Dağıtımı

Fox-IT, NCC Group'un bir yan kuruluşu, bu sofistike kampanyanın anatomisini yakın zamanda deşifre etti.

Lazarus Grubu'nun, sürekli gözlem ve yüksek etkili mali soygunlar için özel olarak tasarlanmış çok aşamalı bir uzaktan erişim Trojan'ı (RAT) olan RemotePE'yi kullandığını keşfettiler.

İhlal yaşam döngüsü, bir zorbalık sıfır günü istismarı yerine titizlikle hazırlanmış sosyal mühendislikle başlar. Saldırganlar, Telegram gibi platformlara sızarak, meşru ticaret şirketi çalışanları veya işe alımcılar olarak kendilerini tanıtırlar.

Güvenilir SaaS platformları olan Calendly ve Picktime'ı kusursuz bir şekilde taklit eden sahte planlama bağlantılarını dağıtıyorlar. Bir hedef kötü niyetli bağlantıyla etkileşime geçtiğinde, karmaşık, üç katmanlı bir enfeksiyon dizisi başlar:

1. DPAPILoader:İlk ihlal, diskte güvenli bir şekilde gizlenmiş şifreli bir yükü çözmek için Windows Veri Koruma API'sini (DPAPI) kullanıyor; bu teknik ilk olarak 2023 yılı sonunda tespit edildi.
2. UzaktanPEYükleyici:

   Bu ara aşama, HTTP üzerinden uzaktan bir komut ve kontrol (C2) sunucusuyla bağlantı kurar. Temel kötü amaçlı modülü alır ve bunu doğrudan belleğe enjekte eder. Özellikle, sistemik güvenlik uyarılarını bastırmak için Hell's Gate gibi ve Windows Olay İzleme (ETW) yamanması gibi kaçınma tekniklerini aktif bir şekilde kullanır.

3. RemotePE:Son RAT tamamen RAM'de çalışır. Saldırganlara ping atma, süreçleri yönetme ve dosyaları manipüle etme gibi toplam operasyonel kontrol sağlar. Özellikle, dosya silme komutları yürütüldüğünde, RemotePE silmeden önce verileri yedi kez sabit baytlarla üst üste yazar—bu, önceki Lazarus araç setlerinde, örneğin PondRAT ve POOLRAT gibi, gözlemlenen bir anti-forensic (anti-delil) paterndir.

Kripto Para Üzerindeki Eşi Benzeri Görülmemiş Finansal Yük

Bu dosyasız mimarinin operasyonel başarısı, etkileyici mali ölçümlerle yansıtılmaktadır.

TRM Labs'tan gelen blok zinciri istihbarat verilerine göre, Lazarus Grubu 2026'nın sadece ilk dört ayında yaklaşık 577 milyon dolar değerinde kripto para siphonlamayı başardı.

Bu şaşırtıcı rakam, o dönemde kaydedilen tüm küresel kripto hırsızlıklarının %76'sını oluşturuyor ve böylece siber suç pazarını etkili bir şekilde tekelleştiriyor.

Bu artık standart kurumsal casusluk değil; yaptırımlarla yönetilen bir ekonomiyi finanse etmek için tasarlanmış ölçeklenmiş, devlet destekli bir gelir operasyonudur. 2017'den bu yana, sendika yaklaşık 6 milyar dolar topladı.çalıntı dijital fonlar.

RemotePE’nin stratejik dağıtımı, faillerin büyük, koordineli sermaye çekme eylemlerini gerçekleştirmeden önce derin bir devamlılık kurduğu finans sektörüne yönelik kasıtlı ve sürekli bir odağı vurgulamaktadır.

Ayrıca Oku:ABD, Kuzey Kore'yi Kripto Hırsızlığı Üzerinden Yaptırımlara Tabi Tutuyor

Dijital Varlık Saklama için Sonuçlar

Lazarus grubunun bu ölçekle dosyasız truva atı kampanyaları yürüttüğünün ortaya çıkması, fintech ekosistemindeki güvenlik duruşlarının hemen yeniden ayarlanmasını gerektirmektedir.

Çünkü RemotePE disk tabanlı tespitlerden kaçındığı için, standart SaaS tedarik zinciri incelemeleri veya geleneksel EDR çözümleri kullanan kuruluşlar kritik derecede savunmasız kalmaktadır.

Savunma paradigmasının hızlı bir şekilde davranış analizine ve bellek içi adli bilgilere yönelmesi gerekiyor. RAM düzeyinde tehdit tespiti konusunda uzmanlaşmış güvenlik satıcıları artık kripto saklayıcıları, borsalar ve DeFi protokolleri için temel ortaklar haline geldi.

Ayrıca, Telegram gibi iletişim platformlarıyla ilgili çalışan taklit eğitimi artık isteğe bağlı bir temizlik önlemi değil, yük taşıyan bir güvenlik kontrolüdür.

Finansal sonuçların muhtemelen siber sigorta pazarına da yansıyacağı düşünülüyor. Teminat verenler, dijital varlık saklayıcıları için teminat vermeden önce gelişmiş, bellek tabanlı savunma yeteneklerinin kanıtını talep edebilir ve bu durum, Web3 döneminde güvenliğin temel maliyetini temelden değiştirebilir.

Lazarus Grubu'ndan gelen en son tehdidi bertaraf etmek için finansal kurumlar tehdit modellerini hemen modernize etmelidir. 2026'da, bir ağın güvenli olduğunu varsaymak sadece disklerinin temiz olması nedeniyle, hiçbir kripto firması bu zafiyeti kullanma lüksüne sahip olamaz.

Ayrıca Oku: $3 Milyon XRP Hırsızlığı: İşte Hikaye

SSS

Lazarus Grubu'ndan en son tehdit nedir?

Lazarus Grubu'nun en son tehdidi RemotePE, son derece sofistike bir "sadece bellek" veya dosyasız Uzaktan Erişim Truva Atı (RAT)dır. Geleneksel kötü amaçlı yazılımların aksine, RemotePE tamamen bir sistemin RAM'inde çalışır ve fiziksel sabit diske veri yazmaz, bu da onun standart antivirüs yazılımlarını ve Uç Nokta Tespiti ve Yanıt (EDR) sistemlerini kolayca geçmesini sağlar.

Lazarus Grubu, dosyasız trojanı nasıl dağıttı?

Lazarus Grubu, dosyasız trojanı sosyal mühendislik ve sahte planlama bağlantılarının bir kombinasyonu ile dağıttı. Saldırganlar, Telegram'da ticaret şirketi çalışanlarını taklit ederek hedeflere meşru Calendly veya Picktime toplantı bağlantıları olarak gizlenmiş zararlı bağlantılar gönderiyor. Bağlantıya tıklandığında, üç aşamalı bir yükleyici (DPAPILoader ile başlayan) zararlı yazılımı doğrudan sistemin belleğine sessizce enjekte ediyor.

RemotePE kötü amaçlı yazılım nedir ve nasıl çalışır?

RemotePE, Kuzey Kore devlet destekli hackerlar tarafından kullanılan bellek içinde bulunan bir uzaktan erişim truva atıdır. Güvenlik uyarılarını bastırmak için Windows için Olay İzleme (ETW) gibi ileri seviye kaçınma teknikleri kullanarak çalışır. RAM'de aktif hale geldiğinde, saldırganlara ele geçirilmiş ağa tam kontrol sağlar; bu, komutları çalıştırmalarına, aktif süreçleri yönetmelerine ve hassas kimlik bilgilerini çalmalarına olanak tanır.

Lazarus Grubu 2026'da ne kadar kripto para çaldı?

Blockchain zekası verilerine göre TRM Labs, Lazarus Grubu'nun 2026'nın sadece ilk dört ayında yaklaşık 577 milyon dolarlık kripto para çaldığını bildiriyor. Bu inanılmaz rakam, o dönemde kaydedilen tüm küresel kripto hırsızlıklarının yaklaşık %76'sını oluşturuyor ve grubun 2017'den bu yana tahmini toplam kazancını 6 milyar doların üzerine çıkarıyor.

Organizasyonlar RemotePE gibi dosyasız kötü amaçlı yazılımları nasıl tespit edebilirler?

Çünkü dosyasız zararlı yazılım bir bilgisayarın sabit diskinde dijital bir iz bırakmaz, bu nedenle organizasyonlar geleneksel disk tarama antivirüs araçlarına güvenemez. RemotePE'ye karşı savunma yapmak, gelişmiş bellek forensikleri, davranış anomali tespiti ve Telegram gibi üçüncü taraf mesajlaşma uygulamalarında kurumsal iletişimle ilgili sıkı güvenlik protokollerinin uygulanmasını gerektirir.

Açıklama: İfade edilen görüşler yalnızca yazara aittir ve bu platformun görüşlerini yansıtmaz. Bu platform ve bağlı kuruluşları, sağlanan bilgilerin doğruluğu veya uygunluğu konusunda herhangi bir sorumluluk kabul etmez. Bu sadece bilgilendirme amaçlıdır ve mali veya yatırım tavsiyesi olarak tasarlanmamıştır.