Атака обычно начинается с методов социальной инженерии, рассказывают специалисты по безопасности. Злоумышленники из Lazarus Group связываются с потенциальными жертвами через Телеграм, представляясь сотрудниками трейдинговых компаний. Они отправляют ссылки на поддельные страницы сервисов Calendly и Picktime «для организации деловой встречи». После подтверждения встречи запускается цепочка заражения устройства жертвы.
Атака состоит из нескольких этапов. Сначала на устройство загружается программа DPAPILoader, которая использует встроенные механизмы Windows для расшифровки вредоносного кода. Затем запускается второй компонент — RemotePELoader. Он устанавливает соединение с управляющим сервером и загружает основной троян непосредственно в оперативную память компьютера.
Специалисты Fox-IT считают, что такой подход позволяет вредоносному ПО обходить многие средства защиты. Троян RemotePE работает исключительно в оперативной памяти и не сохраняет файлы на жестком диске. Из-за этого его значительно сложнее обнаружить как антивирусным программам, так и аналитикам, занимающимся расследованием подобных инцидентов.
По оценке аналитиков, RemotePE предназначен не для разовых атак, а для длительного скрытого присутствия в инфраструктуре жертвы. После проникновения хакеры могут собирать информацию о системе и активности пользователей, подготавливая почву для кражи криптовалюты.
Ранее эксперты специализирующейся на вопросах кибербезопасности платформы TRM Labs сообщили, что общая стоимость украденных хакерами из Северной Кореи за девять лет криптовалют превысила $6 млрд.
