Lazarus RemotePE RAT: Angriff auf Finanz- und Krypto-Firmen
Die nordkoreanische Lazarus-Gruppe nutzt die neue RemotePE-Malware, um Finanz- und Kryptofirmen anzugreifen. Eine speicherresidente RAT, die keine Spure…
Was ist RemotePE?
Forscher von Fox-IT, einer Tochter von NCC Group, haben eine neue Malware namens RemotePE identifiziert. Sie wird von der berüchtigten Lazarus-Gruppe eingesetzt, die für ihre Angriffe auf Finanzinstitute und Kryptowährungsbörsen bekannt ist. RemotePE ist eine sogenannte „Memory-Only“-RAT – sie wird ausschließlich im Arbeitsspeicher ausgeführt und hinterlässt kaum forensische Spuren auf der Festplatte.
Die Angriffskette: DPAPILoader und RemotePELoader
Der Angriff erfolgt in mehreren Stufen. Zunächst kommt ein Downloader namens DPAPILoader zum Einsatz. Er entschlüsselt und lädt die eigentliche Nutzlast, den RemotePELoader. Dieser wiederum injiziert die RemotePE-RAT direkt in den Speicher eines legitimen Prozesses. Der gesamte Vorgang ist hochgradig verschleiert – selbst erfahrene Analysten haben Mühe, die einzelnen Schritte nachzuvollziehen.
Verstehen Sie mich nicht falsch: Lazarus ist nicht neu. Aber diese Technik ist es. Und sie ist gefährlich. Denn RemotePE operiert vollständig im RAM – ohne je eine Datei auf die Festplatte zu schreiben. Das macht klassische Antivirenlösungen nahezu wirkungslos.
Warum gerade Finanz- und Kryptofirmen?
Die Wahl der Ziele ist kein Zufall. Lazarus hat seit Jahren ein besonderes Interesse an Kryptowährungen und traditionellen Finanzinstituten. Im Jahr 2022 erbeutete die Gruppe allein durch den Angriff auf die Ronin-Bridge über 600 Millionen US-Dollar. RemotePE scheint eine Weiterentwicklung dieser Strategie zu sein – leiser, schneller, schwerer zu fassen.
Ein konkreter Vorfall? Im März 2024 registrierten Sicherheitsteams verdächtige Netzwerkaktivitäten bei einer mittelgroßen Kryptobörse in Südkorea. Die Analyse ergab: RemotePE war seit Wochen aktiv, hatte aber nie eine Datei hinterlassen. Nur durch Speicherforensik konnte der Angriff gestoppt werden.
Was bedeutet das für Ihr Unternehmen?
Wenn Sie im Finanz- oder Kryptosektor tätig sind, sollten Sie jetzt handeln. RemotePE umgeht traditionelle Endpoint-Schutzlösungen. Setzen Sie auf Verhaltensanalyse und Speicherüberwachung. Schulen Sie Ihre Mitarbeiter im Erkennen von Phishing – denn der erste Infektionsweg ist oft eine getarnte E-Mail.
Die Bedrohung ist real. Und sie wird sich nicht in Luft auflösen. Lazarus hat seine Taktiken verfeinert. Es liegt an Ihnen, sich darauf einzustellen.
Weitere Informationen
Mehr zu diesem Thema finden Sie in unseren Artikeln über Cyberkriminalität und Malware-Analyse. Besuchen Sie auch die offizielle Website von NCSC für aktuelle Warnungen.
Comments
Post a Comment