Группа Lazarus обновила свой арсенал с помощью RemotePE — трояна, работающего исключительно в памяти. Нацеленный на финансовые компании и криптовалютные предприятия, этот вредонос избегает обнаружения, не записывая файлы на жесткий диск. Угроза реальна и требует подготовленных специалистов. Поэтому SANSFIRE 2026 в Вашингтоне, округ Колумбия (13–18 июля), предлагает скидку в 500 долларов на раннюю регистрацию — возможность пройти обучение для защиты от продвинутых атак.
RemotePE: выполнение в памяти и обход антивирусов 🛡️
RemotePE внедряется непосредственно в легитимные процессы, используя технику отраженной загрузки. Он не оставляет артефактов в файловой системе, что затрудняет традиционный криминалистический анализ. Злоумышленники распространяют его через фишинг с вредоносными документами, которые загружают полезную нагрузку с удаленных серверов. Попав внутрь, он крадет учетные данные и закрытые ключи от кошельков. Защита требует мониторинга поведения и постоянного обучения, такого как предлагает SANSFIRE 2026.
Цифровой призрак, которому не нужен жесткий диск 👻
Lazarus создал настолько неуловимый вредонос, что он даже не утруждает себя занятием места на вашем SSD. Это как вор, который проникает в ваш дом, крадет ключи от сейфа и уходит, не ступив на ковер. Хуже всего то, что ваш антивирус, занятый сканированием файлов, даже не замечает этого. Возможно, вам стоит подумать о курсе на SANSFIRE 2026, потому что единственный призрак, который должен вас пугать, — это не призрак конкуренции, а тот, что уже находится в вашей оперативной памяти.