Lazarus usa RAT RemotePE em memória contra finanças e criptomoedas

Cadeia com DPAPILoader e RemotePELoader usa DPAPI, execução sem gravação em disco, evasão de EDR e C2 HTTP para manter acesso furtivo em alvos financeiros e DeFi.

Componente	RemotePE, DPAPILoader e RemotePELoader em uma cadeia de malware atribuída ao Lazarus Group contra organizações financeiras, criptomoedas e DeFi.
Vetor	Comprometimento inicial por engenharia social via Telegram, com abordagem usando identidade de funcionário de empresa de trading e agendamento em domínios falsos associados a Calendly e Picktime.
Impacto	Execução de RAT em memória, comunicação com C2, controle de processos, manipulação de DLLs e exclusão de arquivos com baixa produção de artefatos no sistema de arquivos.
Prioridade	Investigar abordagens sociais recentes, carregamento de DLL `Iassvc.dll`, uso anômalo de DPAPI, conexões HTTP para C2 defangado `aes-secure[.]net` e sinais de evasão de ETW/EDR.
Artefatos	A cadeia envolve a DLL `Iassvc.dll`, o carregador DPAPILoader, o carregador RemotePELoader e o RAT RemotePE escrito em C++.
Período	Artefatos de DPAPILoader remontam a novembro de 2023; amostras de RemotePE indicam desenvolvimento ativo entre meados de 2023 e meados de 2024, com uma compilação datada de 4 de julho de 2023.

Resumo técnico

Uma cadeia de malware associada ao Lazarus Group foi descrita em ataques contra organizações financeiras, empresas de criptomoedas e um alvo do setor de finanças descentralizadas. O conjunto gira em torno do RemotePE, um trojan de acesso remoto executado integralmente em memória, precedido por dois carregadores: DPAPILoader e RemotePELoader. A arquitetura busca reduzir rastros forenses no sistema de arquivos, separar a etapa de persistência e preparação da etapa de controle remoto e permitir que o operador entregue o módulo final apenas após validação do ambiente comprometido.

O fluxo observado começa com engenharia social direcionada. Um funcionário foi abordado no Telegram por alguém se passando por empregado de uma empresa de trading, seguido de tentativa de marcar uma reunião por domínios falsos que imitavam serviços de agendamento. Esse vetor é coerente com operações em que o operador escolhe alvos de alto valor, interage diretamente com a vítima e só avança na cadeia quando a máquina ou o perfil corporativo justificam a exposição do implante mais sensível.

O RemotePE não aparece como um binário tradicional gravado em disco durante a etapa final. O RemotePELoader busca o módulo principal em um servidor remoto e o executa em memória, enquanto o DPAPILoader usa a Windows Data Protection API para decriptar e carregar o estágio intermediário a partir de um payload cifrado em disco. A combinação de DPAPI, execução em memória, comunicação por HTTP com C2 e técnicas de evasão como Hell's Gate e alteração de Event Tracing for Windows eleva a importância de telemetria comportamental, não apenas de varredura por arquivos.

Fluxo técnico

A primeira peça da cadeia identificada é o DPAPILoader, observado como uma DLL chamada Iassvc.dll. Sua função é decriptar um payload armazenado em disco e carregar o RemotePELoader. O uso de DPAPI cria uma dependência do contexto da máquina ou do usuário em que o material cifrado foi protegido, o que funciona como uma forma de amarração ambiental. Para a defesa, isso significa que a simples presença de um blob cifrado pode não revelar o estágio seguinte em análise fora do ambiente original, enquanto a execução na máquina comprometida libera o próximo componente.

O RemotePELoader atua como ponte entre o estágio local e o implante final. Ele realiza beacon para um servidor C2 por HTTP, com o domínio aes-secure[.]net citado como infraestrutura de controle, e aguarda a entrega do RemotePE. Antes da execução do RAT, o carregador incorpora medidas de evasão. Hell's Gate é associado à tentativa de acessar chamadas de sistema de forma menos dependente de APIs monitoradas, enquanto a alteração de ETW reduz a visibilidade de eventos que poderiam auxiliar EDRs e sensores locais. O efeito operacional é dificultar a correlação entre carregamento, comunicação e execução do módulo final.

O RemotePE é descrito como um RAT em C++ que consulta o C2 em busca de instruções. As capacidades mencionadas incluem obter ou alterar o diretório de trabalho, registrar novo módulo DLL, listar DLLs carregadas, descarregar DLLs, listar processos, criar novos processos e encerrar processos por identificador. Há também uma capacidade de exclusão de arquivos com sobrescrita repetida por bytes constantes, renomeação e remoção, padrão relacionado a PondRAT e POOLRAT. Essa função não deve ser tratada apenas como limpeza: em um incidente, ela pode apagar artefatos úteis para resposta, destruir evidências locais ou remover componentes após uma etapa de observação prolongada.

Superfície afetada

A superfície principal não é definida por um produto vulnerável específico, mas por usuários e estáções de trabalho expostos a engenharia social em organizações financeiras, criptomoedas e DeFi. O risco aumenta quando funcionários têm rotina de comunicação com parceiros externos por mensageria, recebem convites de reunião fora de canais corporativos controlados e operam ativos com acesso a carteiras, sistemas de trading, dados financeiros ou ambientes administrativos. O compromisso inicial citado envolve interação humana, não exploração de uma CVE documentada no contexto.

Ambientes Windows são centrais na sequência descrita porque o DPAPILoader depende de DPAPI e o fluxo menciona ETW, DLLs e processos locais. Ainda assim, o RemotePE foi caracterizado como malware de natureza multiplataforma no contexto da análise, o que exige cuidado para não limitar a caça apenas a endpoints Windows quando a organização investigada possui estáções, servidores ou dispositivos de administração em outros sistemas. A prioridade defensiva deve partir dos pontos concretos observados: DLL Iassvc.dll, uso anômalo de DPAPI, beacon HTTP, carregamento em memória e manipulação de processos.

Usuários abordados por Telegram sob pretexto de contato profissional com empresa de trading.
Estáções de trabalho usadas por equipes financeiras, operações de criptomoedas, DeFi, trading, tesouraria ou desenvolvimento ligado a ativos digitais.
Endpoints Windows em que Iassvc.dll, DPAPI, ETW e carregamento de DLLs apareçam em sequência incomum.
Ambientes com baixa retenção de telemetria de processo, memória e rede, nos quais implantes sem gravação em disco reduzem evidências persistentes.

Hunting e telemetria

A investigação deve combinar identidade, endpoint e rede. No endpoint, a presença ou execução de Iassvc.dll merece análise, especialmente quando associada a processos fora do padrão do usuário, carregamento de payload cifrado e chamadas relacionadas a DPAPI. Como o estágio final evita gravação em disco, a ausência de um binário RemotePE no sistema de arquivos não descarta comprometimento. Sensores capazes de registrar criação de processo, carregamento de DLL, alteração de memória, comportamento de ETW e conexões HTTP de processos incomuns serão mais úteis do que busca por arquivo final.

Na rede, a comunicação com o domínio C2 defangado aes-secure[.]net deve ser tratada como indicador de alta prioridade quando aparecer em logs DNS, proxy, EDR ou firewall. Caso o indicador não esteja presente, ainda vale procurar padrões de beacon HTTP de hosts ligados aos usuários abordados, principalmente após convites de reunião suspeitos. No lado de identidade e colaboração, registros de mensagens, convites, acessos a domínios de agendamento falsos e mudanças de comportamento após interações externas ajudam a montar a linha do tempo do acesso inicial.

Carregamento ou presença de DLL chamada Iassvc.dll em diretórios não usuais ou por processos sem relação administrativa clara.
Uso de DPAPI seguido de carregamento de payload, conexão HTTP externa e execução de código em memória.
Eventos de criação, listagem ou encerramento de processos em sequência com comunicação C2.
Sinais de alteração ou perda de visibilidade em Event Tracing for Windows durante a execução de processo suspeito.
Consultas DNS ou tráfego HTTP para aes-secure[.]net, mantendo o indicador defangado em relatórios e documentação.
Histórico de abordagem por Telegram, convite de reunião e acesso a domínios que imitam plataformas de agendamento.

Mitigação

A resposta deve começar pela preservação de evidências em hosts associados à abordagem social e a qualquer comunicação com o C2 citado. Como o RAT final é executado em memória, coletar apenas arquivos do disco pode ser insuficiente. Imagens de memória, telemetria de EDR, histórico de processos, conexões de rede, cache DNS, logs de proxy e registros de identidade devem ser preservados antes de contenção mais agressiva, sempre respeitando os procedimentos internos de resposta a incidentes.

A contenção deve isolar endpoints suspeitos, invalidar sessões e revisar credenciais de usuários que receberam ou aceitaram interações externas relacionadas ao fluxo. Como o alvo descrito envolve finanças e criptomoedas, a revisão deve incluir acessos a sistemas de trading, carteiras, painéis administrativos, chaves operacionais e permissões privilegiadas associadas ao usuário impactado. Não há no contexto evidência concreta de roubo de dados ou movimentação lateral; portanto, esses efeitos devem ser investigados por telemetria, não assumidos como fato.

No endurecimento, organizações expostas a esse tipo de operação devem reduzir a eficácia de engenharia social com verificação de convites externos, políticas de mensageria, navegação protegida, bloqueio de domínios recém-observados ou não categorizados e validação de identidade fora do mesmo canal usado pelo contato inicial. Em endpoint, a defesa deve garantir visibilidade de carregamento de DLLs, eventos de DPAPI, execução em memória, alterações em ETW e anomalias de processos. O objetivo é tornar cada estágio da cadeia observável mesmo quando o implante final não deixa artefatos tradicionais em disco.

Isolar hosts com indícios de Iassvc.dll, beacon HTTP suspeito ou uso incomum de DPAPI associado ao usuário visado.
Preservar memória, logs de EDR, eventos de processo, DNS, proxy e identidade antes de limpar o sistema.
Bloquear e caçar o domínio C2 defangado aes-secure[.]net em DNS, proxy, firewall e EDR.
Revisar contas, sessões e permissões do usuário abordado por engenharia social, com foco em sistemas financeiros e ativos digitais.
Validar se houve manipulação de ETW, carregamento de DLLs não esperado, criação de processos anômalos ou exclusão de arquivos com sobrescrita repetida.
Reforçar controles para convites de reunião externos e contatos por mensageria usados em processos sensíveis de finanças, trading e criptomoedas.

Lazarus usa RAT RemotePE em memória contra finanças e criptomoedas

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

Lazarus usa RAT RemotePE em memória contra finanças e criptomoedas

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato