Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Bezplikowe złośliwe oprogramowanie to jedna z najbardziej wymagających kategorii zagrożeń dla zespołów bezpieczeństwa. W odróżnieniu od klasycznego malware, które zapisuje swoje komponenty na dysku, narzędzia tego typu działają głównie lub wyłącznie w pamięci operacyjnej. Taki model znacząco utrudnia wykrywanie, analizę incydentów oraz odtwarzanie pełnego przebiegu ataku.
Najświeższe ustalenia dotyczące grupy Lazarus wskazują, że operatorzy rozwinęli nowy pamięciowy trojan zdalnego dostępu o nazwie RemotePE. Narzędzie zostało zaprojektowane z myślą o skrytym utrzymaniu dostępu do środowiska ofiary, ograniczeniu śladów na dysku oraz omijaniu mechanizmów bezpieczeństwa stosowanych na stacjach roboczych i serwerach.
W skrócie
Badacze opisują trzyetapowy łańcuch infekcji obejmujący komponenty DPAPILoader, RemotePELoader oraz finalny moduł RemotePE. Pierwszy etap odszyfrowuje kolejny komponent przy użyciu mechanizmów DPAPI, drugi odpowiada za komunikację z infrastrukturą C2 i przygotowanie środowiska, a trzeci realizuje właściwe funkcje trojana zdalnego dostępu wykonywanego wyłącznie w pamięci.
Cały zestaw został przygotowany tak, aby ograniczyć skuteczność klasycznych metod detekcji. W praktyce oznacza to mniejszą liczbę artefaktów plikowych, utrudnioną analizę statyczną oraz zastosowanie technik unikania rozwiązań EDR, w tym usuwania hooków w przestrzeni użytkownika i ograniczania widoczności zdarzeń telemetrycznych.
Kontekst / historia
Grupa Lazarus od lat pozostaje jednym z najlepiej rozpoznanych aktorów APT, kojarzonych z operacjami wymierzonymi w instytucje finansowe, firmy związane z kryptowalutami oraz organizacje o wysokiej wartości operacyjnej. Nowe ustalenia wskazują, że RemotePE wpisuje się w długofalowy rozwój narzędzi tej grupy, zwłaszcza w obszarze ataków prowadzonych w sposób selektywny i ukierunkowany.
Analizowane kampanie mają wykorzystywać dobrze znany schemat wejścia do środowiska ofiary, oparty na socjotechnice, fałszywych procesach rekrutacyjnych oraz komunikacji biznesowej prowadzonej przez komunikatory. Po uzyskaniu wstępnego dostępu starsze komponenty miały zostać zastąpione bardziej zaawansowanym, modułowym zestawem działającym w pamięci, rozwijanym co najmniej od połowy 2023 do połowy 2024 roku.
Analiza techniczna
Łańcuch rozpoczyna się od komponentu DPAPILoader, czyli biblioteki DLL odpowiedzialnej za odszyfrowanie kolejnego etapu przy użyciu Windows Data Protection API. Takie podejście wiąże materiał kryptograficzny z konkretnym systemem ofiary, przez co przechwycone próbki są znacznie mniej użyteczne poza zainfekowanym hostem. Dodatkowo utrudnia to tworzenie skutecznych detekcji opartych wyłącznie na hashach i prostych sygnaturach.
DPAPILoader był maskowany jako legalny komponent systemowy i uruchamiany z wykorzystaniem usługi Windows. Następnie wyszukiwał dane w określonych lokalizacjach systemowych, odszyfrowywał kolejny moduł i ładował go refleksyjnie do pamięci. W części przypadków po odszyfrowaniu stosowano dodatkową warstwę XOR, pełniącą funkcję lekkiej obfuskacji.
Drugim etapem jest RemotePELoader. To właśnie on odpowiada za komunikację z serwerem C2, pobranie finalnego ładunku oraz przygotowanie procesu do dalszych działań. Loader dynamicznie rozwiązuje numery wywołań systemowych i remapuje biblioteki z KnownDlls, co ma pomóc w usunięciu hooków nakładanych przez oprogramowanie ochronne w przestrzeni użytkownika. Równolegle modyfikuje funkcje związane z ETW, ograniczając widoczność aktywności procesu dla narzędzi telemetrycznych.
Konfiguracja C2 jest przechowywana lokalnie i również chroniona za pomocą DPAPI. Zawiera m.in. parametry opóźnień, adresy serwerów sterujących, ustawienia proxy i identyfikatory niezbędne do komunikacji. Wymiana danych odbywa się przez HTTP POST, a część informacji o hoście trafia do nagłówków Cookie. Po zestawieniu sesji loader cyklicznie odpytuje serwer i oczekuje na finalny ładunek szyfrowany z użyciem AES-GCM oraz kodowany w Base64.
Sam RemotePE to wielowątkowy RAT napisany w C++, wykonywany całkowicie w pamięci. Oferuje zestaw funkcji typowych dla dojrzałego narzędzia post-exploitation, w tym wykonywanie poleceń systemowych, zarządzanie plikami, uruchamianie procesów, ładowanie dodatkowych bibliotek DLL oraz obsługę konfiguracji. Może również przygotowywać dane do eksfiltracji i rozszerzać możliwości poprzez dynamicznie rejestrowane moduły.
Na uwagę zasługuje także mechanizm bezpiecznego usuwania plików. RemotePE wielokrotnie nadpisuje dane przed zmianą nazwy i usunięciem pliku, co utrudnia odzyskanie dowodów i wpisuje się w techniki obserwowane we wcześniejszych rodzinach malware przypisywanych Lazarusowi.
Istotnym elementem operacyjnym jest również sposób dostarczania finalnego payloadu. Badacze zaobserwowali, że serwer C2 nie zawsze przekazywał ładunek automatycznie po rejestracji klienta. Sugeruje to model operator-in-the-loop, w którym człowiek po stronie atakującego decyduje o momencie dalszej eskalacji działań.
Konsekwencje / ryzyko
RemotePE zwiększa skuteczność działań APT na kilku poziomach jednocześnie. Bezplikowy model wykonania ogranicza ślady dostępne dla klasycznej analizy dyskowej, wykorzystanie DPAPI utrudnia badanie próbek poza środowiskiem ofiary, a techniki unhookingu i osłabiania telemetryki zmniejszają szansę wykrycia przez standardowe mechanizmy ochronne.
Dla organizacji oznacza to podwyższone ryzyko długotrwałej, niezauważonej obecności napastnika. Taki implant może posłużyć do rekonesansu, eksfiltracji danych, kradzieży poświadczeń, wdrożenia kolejnych modułów lub przeprowadzenia finalnej operacji finansowej. Szczególnie narażone pozostają środowiska przetwarzające wrażliwe dane, systemy uprzywilejowane oraz infrastruktura związana z aktywami finansowymi i kryptowalutowymi.
Rekomendacje
W obliczu zagrożeń takich jak RemotePE organizacje powinny rozszerzyć monitoring poza tradycyjne wskaźniki plikowe. Kluczowe staje się obserwowanie zachowań procesów, działań w pamięci oraz nietypowego użycia mechanizmów DPAPI. Szczególną uwagę warto zwracać na biblioteki DLL podszywające się pod legalne usługi systemowe, anomalie w katalogach systemowych oraz nietypowe wzorce ładowania modułów.
Na poziomie endpointów zalecane jest monitorowanie prób modyfikacji ETW, remapowania bibliotek systemowych i zachowań sugerujących reflective loading. Warto również wdrożyć mechanizmy inspekcji pamięci, kontrolę aplikacyjną oraz analitykę umożliwiającą wykrywanie nadużyć związanych z bezpośrednimi syscallami.
Po stronie sieci istotne będzie profilowanie ruchu HTTP, identyfikacja długotrwałych sesji beaconingowych oraz analiza niestandardowego wykorzystania nagłówków Cookie. Sama komunikacja może przypominać legalny ruch korporacyjny, dlatego duże znaczenie ma korelacja danych sieciowych z kontekstem procesowym i hostowym.
- wzmocnienie ochrony stacji uprzywilejowanych i systemów obsługujących aktywa finansowe,
- ograniczenie uruchamiania nieautoryzowanych bibliotek DLL oraz wdrożenie kontroli aplikacyjnej,
- pełne logowanie zdarzeń procesowych i sieciowych z centralną korelacją,
- regularne polowania zagrożeń pod kątem pamięciowych RAT-ów i nadużyć DPAPI,
- szkolenia przeciwko socjotechnice wykorzystującej fałszywe procesy rekrutacyjne i komunikację biznesową.
Podsumowanie
RemotePE pokazuje, że Lazarus konsekwentnie inwestuje w narzędzia zapewniające skrytość, odporność na analizę i długotrwałe utrzymanie dostępu. Połączenie szyfrowania z użyciem DPAPI, działania wyłącznie w pamięci, mechanizmów unikania EDR oraz ręcznie sterowanego dostarczania ładunku tworzy zagrożenie szczególnie istotne dla organizacji o wysokiej wartości biznesowej.
Dla obrońców najważniejszy wniosek jest jasny: skuteczna detekcja nowoczesnych kampanii APT wymaga odejścia od podejścia opartego wyłącznie na plikach i hashach. Coraz większe znaczenie mają monitoring pamięci, analiza zachowań procesów oraz identyfikowanie subtelnych wzorców komunikacji z infrastrukturą sterującą.