RemotePE RAT
A Fox-IT elemzése szerint a Lazarus-csoport egyik új generációs malware-e, a RemotePE, már teljesen memóriában futó RAT-ként működik, és a korábbi Lazarus-eszközöknél jóval kifinomultabb post-exploitation képességekkel rendelkezik. A malware a 2024-ben megfigyelt DeFi és kriptoszektor elleni műveletekben jelent meg, ahol a támadók Telegramon keresztül hamis állásinterjúkkal és fake Calendly/Picktime oldalakkal kompromittálták az áldozatokat.
A kezdeti hozzáférés után a Lazarus először PerfhLoader loadert telepített, amely PondRAT-ot és ThemeForestRAT-ot futtatott. Ezek discoveryt, credential harvestinget és proxyfunkciókat végeztek. Hónapokkal később a támadók áttértek a jóval stealth-ebb RemotePE-re, amelyet a RemotePELoader tölt be közvetlenül memóriába AES-GCM titkosított payloadként. A kommunikáció teljes egészében titkosított, a kulcsokat pedig SplitMix64 és Mersenne Twister alapú PRNG kombinációval generálják minden üzenethez külön.
A RemotePE technikailag egy objektumorientált, multithreadelt C++ RAT. Két fő threadet használ: az IChannelControllerkezeli a C2-kommunikációt, míg az IMiddleController a beérkező parancsokat dolgozza fel. A malware queue-alapú architektúrát alkalmaz, így a parancsvégrehajtás és az output-kezelés aszinkron módon történik. A C2-szerver actor-in-the-loop modellben működik, a loader nem automatikusan kap payloadot, hanem az operátor manuálisan dönt a következő stádium aktiválásáról.
A RemotePE egyik legfontosabb sajátossága, hogy gyakorlatilag teljesen memóriaalapú. Nem hagy klasszikus PE-fájlokat a diszken, a modulokat dinamikusan tölti be, és saját DLL-kezelési mechanizmust használ. A IConsole interfészen keresztül képes DLL-ek regisztrálására, függvényhívások végrehajtására és shell parancsok futtatására. Emellett a IFileExplorer és IProcess komponensek fájlműveleteket, ZIP-alapú exfiltrációt, process creationt és process injectiont támogatnak.
A malware külön Windows event mechanizmust is használ. Alvó állapotban folyamatosan figyeli az 554D5C1F-AABE-49E4-AB57-994D22ECED28 eventet, amely külső triggerként szolgálhat azonnali felébresztéshez. A Fox-IT szerint ez out-of-band vezérlési mechanizmus lehet, amely lehetővé teszi az operátor számára, hogy a RAT-et bármikor aktiválja normál polling nélkül.
A Lazarus csoport már nem egyszerű malware-eket használ, hanem hosszú távú, alacsony zajszintű cloud- és memóriaközpontú implantátumokat épít. A klasszikus fájlalapú antivírus-védelem ellen ezek a technikák sokkal hatékonyabbak, különösen akkor, ha a támadók legitim Windows komponensekkel és memóriában végrehajtott payloadokkal kombinálják őket.
