Никаких файлов на диске. Северная Корея атакует криптобиржи вирусом-невидимкой

Чем незаметнее вредоносное программное обеспечение, тем дольше оно способно оставаться в системе — именно этим принципом руководствуется связанная с Северной Кореей группировка Lazarus в новой кампании против банков и криптовалютных платформ.

Специалисты компании Cognyte зафиксировали атаки с применением трёхкомпонентного инструментария: DPAPILoader, RemotePELoader и RemotePE. Его принципиальная особенность — вредоносный код не записывается на диск, а работает исключительно в оперативной памяти. Это существенно затрудняет обнаружение и расследование после заражения.

Схема атаки выстроена поэтапно. Первый компонент расшифровывает и запускает следующий, используя встроенный механизм защиты данных Windows (DPAPI). Второй загружает финальную нагрузку напрямую с серверов злоумышленников. Третий — троян удалённого доступа — запускается целиком в памяти и передаёт атакующим контроль над системой: выполнение команд, управление файлами, кражу данных.

Отдельного внимания заслуживает приём «привязки к среде». Вредоносный код шифруется под конкретную машину жертвы через тот же DPAPI — запустить его на другом устройстве невозможно. Каждое заражение оказывается уникальным, что фактически обнуляет эффективность стандартного обнаружения по файловым сигнатурам.

Lazarus исторически специализируется на финансово мотивированных атаках, в том числе на кражах криптовалюты. Новая кампания показывает, что помимо технической сложности группировка всё активнее делает ставку на скрытность и длительное присутствие в сети жертвы — подход, прежде характерный преимущественно для государственных разведывательных структур.

Для снижения рисков аналитики рекомендуют ограничить административные привилегии, развернуть поведенческое обнаружение угроз в памяти, усилить сбор телеметрии с конечных точек, а также отслеживать подозрительное использование функций DPAPI и нестандартную исходящую сетевую активность.