🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética lançaram luz sobre um malware multiplataforma chamado RemotePE, que foi utilizado pelo Lazarus Group, ligado à Coreia do Norte, em ataques direcionados a organizações financeiras e de criptomoedas.
RemotePE, de acordo com a Fox-IT, subsidiária do Grupo NCC, faz parte de uma cadeia de ataque de vários estágios que envolve dois carregadores rastreados como DPAPILoader e RemotePELoader.
“DPAPILoader descriptografa e carrega RemotePELoader do disco usando a API de proteção de dados do Windows (DPAPI)”, disseram os pesquisadores de segurança Yun Zheng Hu e Mick Koomen. "O RemotePELoader sinaliza para um servidor C2 e espera até receber o próximo estágio: RemotePE, um RAT executado inteiramente na memória e nunca gravado no disco, não deixando artefatos no sistema de arquivos."
RemotePE foi destacado pela primeira vez pelo fornecedor de segurança em setembro de 2025 em conexão com um ataque direcionado a uma organização não identificada no setor de finanças descentralizadas (DeFi), levando à implantação de três famílias de malware, incluindo PondRAT, ThemeForestRAT e RemotePE.
A intrusão começou com o comprometimento do dispositivo de um funcionário por meio de engenharia social, após ter abordado a vítima no Telegram sob o disfarce de um funcionário existente de uma empresa comercial e agendado uma reunião em domínios falsos do Calendly e Picktime.
A sequência de infecção do RemotePE passa por três estágios, com a DLL DPAPILoader ("Iassvc.dll") responsável por descriptografar e carregar uma carga criptografada do disco usando DPAPI. O primeiro artefato DPAPILoader data de novembro de 2023.
A carga útil descriptografada é outro carregador, RemotePELoader, que é projetado para entrar em contato com um servidor remoto ("aes-secure[.]net") por HTTP, buscar o módulo principal e executá-lo na memória, mas não antes de tomar medidas para evitar a detecção usando técnicas como Hell's Gate e patching Event Tracing for Windows (ETW).
O estágio final é um trojan de acesso remoto completo chamado RemotePE, escrito em C++ e que pesquisa um servidor de comando e controle (C2) para obter mais instruções. O malware suporta seis categorias de comandos, permitindo:
Obtenha ou modifique a configuração C2
Obtenha ou altere o diretório de trabalho atual, registre um novo módulo DLL, carregue DLLs e descarregue uma DLL
Executar operações de arquivo
Obtenha uma lista de processos em execução, crie um novo processo ou elimine o processo por ID
Durma por um intervalo predeterminado ou saia do RemotePE
Faça ping no servidor
Um aspecto notável do comando de exclusão de arquivo é que ele sobrescreve cada arquivo com bytes constantes sete vezes antes de renomeá-lo e excluí-lo, um padrão também observado em PondRAT e POOLRAT (também conhecido como SIMPLESEA). PondRAT é avaliado como uma versão leve do POOLRAT.
A Fox-IT disse que obteve quatro amostras do RemotePE que indicam que o RAT estava em desenvolvimento ativo entre meados de 2023 e meados de 2024. A primeira versão tem carimbo de data/hora de 4 de julho de 2023.
“A codificação ambiental do conjunto de ferramentas, a execução apenas na memória, a evasão de EDR e a baixa pegada forense sugerem que ele foi desenvolvido especificamente para campanhas de observação de longo prazo”, disseram os pesquisadores. “Isso permite que o ator mantenha o acesso silenciosamente por um longo período antes de passar para um objetivo final de alto impacto, como roubo de dados ou um assalto financeiro em grande escala, consistente com a história conhecida deste ator”.
"O modelo de entrega ator-in-the-loop e a baixa taxa de detecção do conjunto de ferramentas (nem RemotePELoader nem RemotePE apareceram no VirusTotal antes desta publicação) sugerem que este conjunto de ferramentas pode ser reservado para alvos de alto valor onde o objetivo é o acesso furtivo e de longo prazo, consistente com o foco conhecido deste subgrupo Lazarus em organizações financeiras e de criptomoeda."
RemotePE, de acordo com a Fox-IT, subsidiária do Grupo NCC, faz parte de uma cadeia de ataque de vários estágios que envolve dois carregadores rastreados como DPAPILoader e RemotePELoader.
“DPAPILoader descriptografa e carrega RemotePELoader do disco usando a API de proteção de dados do Windows (DPAPI)”, disseram os pesquisadores de segurança Yun Zheng Hu e Mick Koomen. "O RemotePELoader sinaliza para um servidor C2 e espera até receber o próximo estágio: RemotePE, um RAT executado inteiramente na memória e nunca gravado no disco, não deixando artefatos no sistema de arquivos."
RemotePE foi destacado pela primeira vez pelo fornecedor de segurança em setembro de 2025 em conexão com um ataque direcionado a uma organização não identificada no setor de finanças descentralizadas (DeFi), levando à implantação de três famílias de malware, incluindo PondRAT, ThemeForestRAT e RemotePE.
A intrusão começou com o comprometimento do dispositivo de um funcionário por meio de engenharia social, após ter abordado a vítima no Telegram sob o disfarce de um funcionário existente de uma empresa comercial e agendado uma reunião em domínios falsos do Calendly e Picktime.
A sequência de infecção do RemotePE passa por três estágios, com a DLL DPAPILoader ("Iassvc.dll") responsável por descriptografar e carregar uma carga criptografada do disco usando DPAPI. O primeiro artefato DPAPILoader data de novembro de 2023.
A carga útil descriptografada é outro carregador, RemotePELoader, que é projetado para entrar em contato com um servidor remoto ("aes-secure[.]net") por HTTP, buscar o módulo principal e executá-lo na memória, mas não antes de tomar medidas para evitar a detecção usando técnicas como Hell's Gate e patching Event Tracing for Windows (ETW).
O estágio final é um trojan de acesso remoto completo chamado RemotePE, escrito em C++ e que pesquisa um servidor de comando e controle (C2) para obter mais instruções. O malware suporta seis categorias de comandos, permitindo:
Obtenha ou modifique a configuração C2
Obtenha ou altere o diretório de trabalho atual, registre um novo módulo DLL, carregue DLLs e descarregue uma DLL
Executar operações de arquivo
Obtenha uma lista de processos em execução, crie um novo processo ou elimine o processo por ID
Durma por um intervalo predeterminado ou saia do RemotePE
Faça ping no servidor
Um aspecto notável do comando de exclusão de arquivo é que ele sobrescreve cada arquivo com bytes constantes sete vezes antes de renomeá-lo e excluí-lo, um padrão também observado em PondRAT e POOLRAT (também conhecido como SIMPLESEA). PondRAT é avaliado como uma versão leve do POOLRAT.
A Fox-IT disse que obteve quatro amostras do RemotePE que indicam que o RAT estava em desenvolvimento ativo entre meados de 2023 e meados de 2024. A primeira versão tem carimbo de data/hora de 4 de julho de 2023.
“A codificação ambiental do conjunto de ferramentas, a execução apenas na memória, a evasão de EDR e a baixa pegada forense sugerem que ele foi desenvolvido especificamente para campanhas de observação de longo prazo”, disseram os pesquisadores. “Isso permite que o ator mantenha o acesso silenciosamente por um longo período antes de passar para um objetivo final de alto impacto, como roubo de dados ou um assalto financeiro em grande escala, consistente com a história conhecida deste ator”.
"O modelo de entrega ator-in-the-loop e a baixa taxa de detecção do conjunto de ferramentas (nem RemotePELoader nem RemotePE apareceram no VirusTotal antes desta publicação) sugerem que este conjunto de ferramentas pode ser reservado para alvos de alto valor onde o objetivo é o acesso furtivo e de longo prazo, consistente com o foco conhecido deste subgrupo Lazarus em organizações financeiras e de criptomoeda."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #lazarus #implanta #rat #somente #memória #remotepe #contra #empresas #financeiras #e #de #criptografia
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário