Новый инструментарий северокорейской группы Lazarus: три этапа скрытого заражения с привязкой к среде и выполнением в памяти

Новый набор состоит из трёх компонентов: DPAPILoader, RemotePELoader и RemotePE. Первый загрузчик использует штатный механизм Windows Data Protection API (DPAPI) для расшифровки и запуска второго компонента прямо с диска. RemotePELoader связывается с командным центром (C2) и ожидает от оператора команды на доставку финальной стадии. RemotePE - это полноценный троян удалённого доступа (RAT), который выполняется исключительно в оперативной памяти и никогда не сохраняется в файловой системе.

В рамках расследования инцидента специалисты обнаружили DPAPILoader под видом легитимной службы Windows. Он был установлен как библиотека DLL с именем Iassvc.dll и запускался от имени системной службы "Internet Authentication Service". Это позволило атакующим получить автоматический запуск при старте системы и закрепиться в инфраструктуре жертвы.

DPAPILoader применяет так называемую привязку к среде (environmental keying). Он расшифровывает полезную нагрузку с помощью DPAPI, чьи ключи привязаны к конкретной учётной записи пользователя на заражённой машине. Это означает, что даже если образец вредоносной программы попадёт на VirusTotal, аналитики не смогут расшифровать его без ключей жертвы. Более того, каждая копия загрузчика уникальна - хеш полезной нагрузки различается от одной атаки к другой, что затрудняет сигнатурное обнаружение. Специалисты в своём отчёте подробно описали три варианта DPAPILoader, собранные в период с ноября 2023 года по август 2024 года. Первый работал как служба Windows, второй использовал подмену библиотеки для загрузки через легитимный процесс ESET, а третий применял экспорт WmiOpenBlock и встраивал зашифрованную нагрузку прямо в себя.

После расшифровки DPAPILoader запускает RemotePELoader. Этот компонент не выполняет никаких функций трояна сам по себе. Его задача - обеспечить связь с сервером управления и получить оттуда RemotePE. Перед началом работы RemotePELoader применяет два метода обхода защитных систем. Первый - HellsGate (точнее его вариант TartarusGate), который динамически определяет номера системных вызовов Windows во время выполнения. Это позволяет пропускать перехваты (хуки) в пользовательском режиме, установленные антивирусами и средствами обнаружения угроз (EDR). Второй - модификация функции трассировки событий Windows (ETW), которая принудительно отключает генерацию событий для текущего процесса.

Конфигурация RemotePELoader хранится на диске в том же каталоге, что и зашифрованная полезная нагрузка. Она также защищена DPAPI и дополнительно ксорится с байтом 0x8D. В этой конфигурации указаны адреса C2-серверов (до трёх), прокси-сервер с учётными данными, пользовательский заголовок User-Agent, а также интервалы сна и время пробуждения. После чтения конфигурации RemotePELoader входит в цикл опроса сервера. Он отправляет HTTP-запросы с куками, имитирующими телеметрию Microsoft. Сервер отвечает идентификатором сессии, после чего загрузчик начинает ждать полезную нагрузку. Задержка доставки указывает на модель "оператор в цикле" - решение о передаче RemotePE принимает человек.

Финальная стадия - RemotePE - представляет собой многофункциональный троян, написанный на C++ с использованием объектно-ориентированного подхода. Он полностью выполняется в памяти, не оставляя следов на диске. RemotePE запускает два потока: один отвечает за связь с C2 и получение команд, второй - за их исполнение. Команды сгруппированы по классам, среди которых управление конфигурацией, работа с файловой системой, управление процессами, создание и завершение процессов, а также таймеры. Примечательно, что команда удаления файлов перезаписывает их константными байтами семь раз, прежде чем переименовать и стереть - такая схема ранее наблюдалась в других вредоносных программах Lazarus. Также реализована система плагинов: оператор может загрузить DLL, которая удовлетворяет требованиям как обычной библиотеки Windows, так и рефлексивного шелл-кода.

Связь RemotePE с сервером аналогична RemotePELoader, но использует дополнительный идентификатор MUID для различения типов запросов. Ответы команд сжимаются с помощью MSZIP (через API кабинета Windows) и шифруются AES-GCM. Всего исследователи получили четыре образца RemotePE, датированные с июля 2023 по май 2024 года. Ранние версии были более самостоятельными и не требовали предварительной загрузки через DPAPILoader. Анализ времени доставки показывает, что полезная нагрузка передавалась только в дневное время по корейскому часовому поясу (UTC+9), что подтверждает ручное управление атакой.

Инфраструктура C2 была развёрнута на shared-хостинге Namecheap. Это усложняет блокировку по IP-адресу, поскольку на том же сервере расположены легитимные сайты. Через анализ характеристик серверов специалисты выявили дополнительные домены, не входившие в первоначальное расследование.

Для защиты рекомендуется сосредоточиться на обнаружении на уровне хоста. Наиболее надёжными индикаторами являются зашифрованные через DPAPI блоки в необычных каталогах, например, в папке DeviceMetadataStore. Также стоит обращать внимание на подозрительные DLL, маскирующиеся под легитимные службы Windows или использующие подмену библиотек в доверенных процессах. Сетевое обнаружение возможно через поля SNI и DNS-запросы к известным C2-доменам, а также через характерные имена кук и JSON-ключи, напоминающие трафик Microsoft.

Этот инструментарий, с его привязкой к среде, выполнением только в памяти и низкой детектируемостью, вероятно, применяется против особо ценных целей. Lazarus стремится оставаться незамеченным в течение длительного времени, прежде чем перейти к решающему действию - краже данных или крупной финансовой афере. Публикация подробностей поможет защитникам быстрее выявлять подобные угрозы в своих сетях.

Domains

• aes-secure.net
• akamaicloud.com
• azureglobalaccelerator.com
• devicelinkintel.com
• intelcloudinsights.com
• msdeliverycontent.com

SHA256

• 159471e1abc9adf6733af9d24781fbf27a776b81d182901c2e04e28f3fe2e6f3
• 37f5afb9ed3761e73feb95daceb7a1fdbb13c8b5fc1a2ba22e0ef7994c7920ef
• 4f6ae0110cf652264293df571d66955f7109e3424a070423b5e50edc3eb43874
• 62e040a32aac2d2faa8d2bffa2cf7ab662228cebf9bb78eaa0a633c0b729d119
• 6b33d20196267b0d64bca815ca863558d26b17cee77caf62a6cce8eae555ac8d
• 710f15302859c7af1c1e25219d704841b3fdbc48f16a5a574d5ab6cf4f4842e8
• 7a05188ab0129b0b4f38e2e7599c5c52149ce0131140db33feb251d926428d68
• aa4a2d1215f864481994234f13ab485b95150161b4566c180419d93dda7ac039