Lazarus 部署 RemotePE 纯内存 RAT 攻击金融与加密货币公司

网络安全研究人员披露了一款名为 RemotePE 的跨平台恶意软件，该软件已被与朝鲜有关联的 Lazarus Group 用于针对金融和加密货币组织的攻击中。

据 NCC Group 旗下子公司 Fox-IT 称，RemotePE 是一个多阶段攻击链的一部分，该攻击链涉及两个加载器，分别被追踪为 DPAPILoader 和 RemotePELoader。

安全研究人员 Yun Zheng Hu 和 Mick Koomen 表示：“DPAPILoader 使用 Windows 数据保护 API（DPAPI）从磁盘解密并加载 RemotePELoader。RemotePELoader 向 C2 服务器发送信标，并等待接收下一阶段：RemotePE，这是一个完全在内存中执行、从不写入磁盘的 RAT，不会留下任何文件系统痕迹。”

RemotePE 首次由该安全厂商于 2025 年 9 月披露，涉及针对去中心化金融（DeFi）领域一家未具名组织的攻击，导致部署了三个恶意软件家族，包括 PondRAT、ThemeForestRAT 和 RemotePE。

入侵始于通过社会工程学攻陷一名员工的设备——攻击者在 Telegram 上冒充某交易公司的现有员工接触受害者，并在伪造的 Calendly 和 Picktime 域名上安排会议。

RemotePE 的感染过程分为三个阶段，DPAPILoader DLL（“Iassvc.dll”）负责使用 DPAPI 从磁盘解密并加载加密载荷。最早的 DPAPILoader 样本可追溯至 2023 年 11 月。

解密后的载荷是另一个加载器 RemotePELoader，其设计目的是通过 HTTP 联系远程服务器（“aes-secure[.]net”），获取核心模块并在内存中执行，但在此之前会采取规避检测的措施，如使用 Hell's Gate 技术和修补 Windows 事件跟踪（ETW）。

最终阶段是一个功能完备的远程访问木马，名为 RemotePE，使用 C++ 编写，轮询 C2 服务器以获取进一步指令。该恶意软件支持六类命令，可执行以下操作：

• 获取或修改 C2 配置
• 获取或更改当前工作目录、注册新的 DLL 模块、获取已加载的 DLL、卸载 DLL
• 执行文件操作
• 获取正在运行的进程列表、创建新进程或按 ID 终止进程
• 按预定间隔休眠或退出 RemotePE
• Ping 服务器

文件删除命令的一个显著特点是，在重命名和删除之前，会用常量字节覆盖每个文件七次，这一模式在 PondRAT 和 POOLRAT（又名 SIMPLESEA）中也有观察到。PondRAT 被评估为 POOLRAT 的轻量级版本。

Fox-IT 表示，其获取了四个 RemotePE 样本，表明该 RAT 在 2023 年年中至 2024 年年中期间处于活跃开发状态。第一个版本的编译时间戳为 2023 年 7 月 4 日。

研究人员表示：“该工具集的环境密钥绑定、纯内存执行、EDR 规避以及低取证痕迹表明，它是为长期观察行动而专门构建的。这使得攻击者能够在较长时间内悄然维持访问权限，然后再转向高影响力的最终目标，如数据窃取或大规模金融盗窃，这与此前已知的该攻击者历史行为一致。”

“人机协同的投递模式以及该工具集的低检测率（在本报告发布前，RemotePELoader 和 RemotePE 均未出现在 VirusTotal 上）表明，该工具集可能被保留用于高价值目标，其目标是长期隐蔽访问，这与该 Lazarus 子团伙已知的针对金融和加密货币组织的关注点一致。”