Foto: The Hacker News
Istraživači kibernetičke sigurnosti povezali su zlonamjerni alat RemotePE s napadima koje izvodi skupina Lazarus, a mete su bile financijske i organizacije povezane s kriptovalutama. Prema NCC Groupovu poduzeću Fox-IT, riječ je o višefaznom lancu napada u kojem se koriste dva učitavača, DPAPILoader i RemotePELoader.
Fox-IT navodi da DPAPILoader dekriptira i učitava RemotePELoader s diska pomoću Windows Data Protection API-ja (DPAPI), nakon čega RemotePELoader uspostavlja vezu s C2 poslužiteljem i čeka sljedeću fazu. Ta završna faza je RemotePE, RAT koji se izvršava isključivo u memoriji i ne zapisuje se na disk, pa ne ostavlja tragove u datotečnom sustavu. Istraživači Yun Zheng Hu i Mick Koomen naveli su i da se operateru vraća naredbena kontrola kroz ovu strukturu više koraka.
RemotePE je Fox-IT prvi put istaknuo u rujnu 2025. u vezi s napadom na neimenovanu organizaciju u sektoru decentraliziranih financija (DeFi). Taj je upad, prema opisu istraživača, doveo do raspoređivanja triju obitelji zlonamjernog softvera: PondRAT-a, ThemeForestRAT-a i RemotePE-a. Početna kompromitacija uređaja zaposlenika, kako navodi Fox-IT, izvedena je socijalnim inženjeringom: napadači su žrtvu kontaktirali preko Telegrama pretvarajući se da su postojeći zaposlenik trgovačke tvrtke, a sastanak su zakazali preko lažnih domena Calendlyja i Picktimea.
Lanac infekcije odvija se u tri faze. DPAPILoader DLL, pod nazivom Iassvc.dll, zadužen je za dekriptiranje i učitavanje šifriranog tereta s diska pomoću DPAPI-ja. Najraniji primjerak tog artefakta datira iz studenoga 2023. Dešifrirani teret je RemotePELoader, koji se povezuje s udaljenim poslužiteljem aes-secure[.]net preko HTTP-a, dohvaća jezgreni modul i izvršava ga u memoriji, ali prije toga koristi tehnike izbjegavanja detekcije poput Hell's Gatea i zakrpavanja Event Tracing for Windowsa (ETW).
Završna komponenta je punopravni udaljeni trojanac za pristup, napisan u C++, koji periodički provjerava C2 poslužitelj za daljnje naredbe. Fox-IT navodi da zlonamjerni softver podržava šest kategorija naredbi. Među njima je i naredba za brisanje datoteka, a njezina je zanimljiva značajka da svaku datoteku sedam puta prepisuje stalnim bajtovima prije preimenovanja i brisanja. Isti obrazac zabilježen je i u PondRAT-u te POOLRAT-u, poznatom i kao SIMPLESEA. Fox-IT procjenjuje da je PondRAT lagana inačica POOLRAT-a.
Tvrtka kaže da je dobila četiri uzorka RemotePE-a koji upućuju na to da je RAT bio u aktivnom razvoju između sredine 2023. i sredine 2024., a prvi primjerak nosi datum kompajliranja 4. srpnja 2023. Istraživači ističu i da kombinacija okolišnog ključanja, izvršavanja isključivo u memoriji, izbjegavanja EDR-a i niskog forenzičkog otiska upućuje na alat osmišljen za dugotrajne kampanje promatranja. Prema njihovu opisu, to napadaču omogućuje da tiho zadrži pristup tijekom duljeg razdoblja prije prelaska na završni cilj poput krađe podataka ili velike financijske pljačke, što je u skladu s ranijim obrascem djelovanja te skupine. Također navode da ni RemotePELoader ni RemotePE prije ove objave nisu bili prisutni na VirusTotalku, pa zaključuju da bi alat mogao biti rezerviran za visokovrijedne mete gdje je cilj dugotrajan i prikriven pristup, osobito u financijskom i kripto sektoru.
Vezane vijesti
