ラザルスが“メモリ専用RAT”RemotePEを投入──DPAPILoader/RemotePELoaderの多段チェーンで金融・暗号事業を狙い撃ちです

今日の深掘りポイント

• メモリ内で完結するRemotePEにより、ディスク痕跡依存の検知は空振りに終わりやすいです。メモリ監視と実行時ふるまい中心の運用にギアを上げるべき局面です。
• DPAPILoaderの導入は「ディスク上の暗号化ペイロード」を安全に見せかける防御回避の一手です。CryptUnprotectDataなどDPAPI周辺APIの不審な呼び出しはハンティングの良い起点になります。
• 多段ローダー＋クロスプラットフォーム化は、SOCのOS別サイロを逆手に取り可視性の“隙間”を突きます。Windows/Mac/Linuxの一体運用とデータ統合が防御側の必須条件です。
• 金融・暗号事業における「熱い資金の在り処（ホットウォレット、トレーディング端末、決裁ワークフロー）」が初動の焦点です。技術対策と業務プロセス（出金フロー・鍵管理）の二正面防御が求められます。
• 新奇性は中程度でも、即応性・現実性は高い類型です。EDR強化だけでなく、メモリ・ネットワーク・業務フローを横断した封じ込め設計が差を生みます。

はじめに

北朝鮮系アクターとして知られるラザルスが、金融・暗号関連企業を狙い、メモリ内でのみ実行されるRAT「RemotePE」を展開していると報じられています。攻撃はDPAPILoaderとRemotePELoaderの二段ローダーを含む多段チェーンで、ソーシャルエンジニアリングを初動に据える典型的な“人と端末”からの侵入です。メモリ専用RATという文脈は目新しさより運用巧者ぶりが際立ち、ディフェンダーの検知前提を揺さぶります。今日のPickUpでは、事実と示唆を切り分け、現場で効く見立てとアクションに落としていきます。

参考情報は公開レポートに依拠し、推測は明示して記します。

• 参考情報: Lazarus Deploys RemotePE Memory-Only RAT Targeting Financial and Crypto Firms (The Hacker News)

深掘り詳細

事実整理（レポートから読み取れること）

• 標的
  • 金融および暗号資産関連企業を標的にした侵害です。
• マルウェア
  • RemotePEはクロスプラットフォームで、メモリ内でのみ実行されるRATです。ディスクに本体を残さず検出を回避します。
• 攻撃チェーン
  • 多段構成で、少なくともDPAPILoaderとRemotePELoaderの二つのローダーが関与します。
  • DPAPILoaderはWindowsのデータ保護API（DPAPI）を用いて、ディスク上の暗号化ペイロードを復号し、次段のRemotePELoaderを読み込みます。
  • その後、RemotePEの本体はメモリで動作します。
• 初動
  • ソーシャルエンジニアリングを通じて従業員端末を侵害します。

上記は公開情報の要旨であり、未公開の技術的詳細（C2方式、永続化の有無、特定のIoCなど）は本稿では扱いません。

編集部の視点（仮説と運用示唆）

• DPAPIの“巧妙な使い方”が意味するもの
  • DPAPIで暗号化されたコンテンツは、感染ホストやユーザコンテキストに紐づくため、オフライン解析や別環境での復号を難しくします。これはディスク上の「静的痕跡の無害化」と「解析妨害」の双方に効く設計です。ハンティングでは、一般業務プロセスが不自然なタイミング・頻度でCryptUnprotectData等を呼ぶ挙動や、直後のメモリ割当・リモートスレッド作成へと続く一連のAPI呼び出し系列に注目する価値があります（仮説）です。
• メモリ専用RATがもたらす検知・対応の転換
  • 署名ベースのディスクスキャンや単純なハッシュ照合は効果が薄れます。実行時ふるまい（プロセス間メモリ書き込み、コード注入、短寿命プロセスのC2通信開始）と、メモリYARA/ETWテレメトリ、SysmonのImageLoad/ProcessAccessイベントなど複合的信号を見る体制が鍵です。
• クロスプラットフォーム化が突く“運用の綻び”
  • 暗号事業の現場では、トレーディング端末やフロント部門のMac、バックオフィスのWindows、ノード系のLinuxが混在します。OS別のEDRやログ基盤が分離していると、攻撃者の横断的な動きが死角化します。観測・相関・封じ込めを一気通貫で扱える統合運用が不可欠です。
• リスクの“即応性”が高い一方で“新規性”は中庸
  • ラザルスは長年、偽採用・投資話法などのソーシャル技法と多段・メモリ常駐の組合せを磨いてきました。したがって“斬新さ”ではなく“完成度”が脅威です。いま必要なのは、既知の巧者に対する“間に合わせの強化”ではなく、検知と封じ込めの原設計の更新です。

脅威シナリオと影響

以下は公開情報を踏まえた仮説ベースのシナリオとMITRE ATT&CKの対応付けです。具体的なIoCや配置は各組織のテレメトリで検証してください。

• シナリオA：偽採用・投資話法からの段階的侵入（最も現実的）
  • 初期アクセス: Spearphishing でリンク/添付（T1566.001/T1566.002）、ユーザ実行（T1204）
  • 実行・防御回避: 暗号化ペイロードの復号（T1027.009 Deobfuscate/Decode）、反射型ロード（T1620 Reflective Code Loading）、プロセスインジェクション（T1055）
  • C2: Webプロトコル（T1071.001）、暗号化通信（T1573）
  • 目的達成: 資産移転ワークフローの偵察（T1082/T1057）、資格情報・トークンの窃取（T1552/T1550, 仮説）、出金指示の改ざんや横取り（T1041 Exfil/C2経路を流用, 仮説）
• シナリオB：ウォレット/トレーディング関連アプリのトロイ化配布（サプライチェーン型）
  • 初期アクセス: トロイ化バイナリの配布（T1195 サプライチェーン, 仮説）
  • 実行・永続化: サービス/LaunchAgent等で自動起動（T1547/T1543, 仮説）、メモリ常駐（T1620）
  • 横展開: 管理用跳び箱からのリモートサービス悪用（T1021, 仮説）
• シナリオC：開発者環境への侵入から署名済みビルドの悪用（上級者向け）
  • 初期アクセス: 開発者向けパッケージ/プラグインの毒入り（T1195, 仮説）
  • 防御回避: 正規署名/ローダー連鎖（T1218 Signed Binary Proxy Execution, 仮説）、EDR無効化/回避（T1562）
  • 影響: CI/CDから配布物へ混入、取引所や顧客端末への拡散（複合）

影響面では、以下の2層で考えると評価が明確になります。

• 技術的影響
  • ディスク痕跡が薄く、EDR/AVの静的検知をすり抜けやすいです。検知後のフォレンジックも、ライブメモリ取得が前提になります。
• 業務的影響
  • 出金/振替フローやマーケットアクセスの“権限の連鎖”を乗っ取られると、少額多発・営業時間終盤の一斉実行など“サイバー×業務の複合リスク”が顕在化します。暗号資産ではホットウォレット・回転資金の管理に直撃します。

セキュリティ担当者のアクション

技術運用と業務ガバナンスの両輪で、短期の即応と中期の構造改善に分けて整理します。

• まず最初の48時間（即応）

  • メモリ中心のトリアージに切り替えます。疑わしい端末はライブメモリ採取（揮発性アーティファクト重視）を優先し、ディスクイメージは後行で取得します。
  • EDR/ログで以下のハンティングクエリを走らせます（環境に応じて正規化してください）です。
    • 短時間でのCryptUnprotectData等DPAPI呼び出し → メモリ割当（VirtualAlloc/MapViewOfFile相当） → 他プロセスへの書込み（WriteProcessMemory）→ リモートスレッド生成（CreateRemoteThread）系列
    • Office/Adobe/ブラウザ子プロセスが即時にネットワーク外向通信（HTTP(S) POST/PUT開始）するパターン
    • 不審プロセスによるcrypt32.dll等の動的ロード（Sysmon Event ID 7）とセットの外向き通信
  • ネットワーク側は、プロキシ/ファイアウォールで未知ドメイン・急造ドメイン（新規登録ドメイン）への通信を暫定遮断するルールを適用します。DNS/TLS指紋（JA3/JA4）やSNIベースの異常値は封じ込めの足がかりになります。
  • 暗号事業では、出金上限・承認者ルールを“非常時モード”に一段引き締めます（閾値引下げ、夜間/休日は原則停止、MFA強制）です。

• 2～4週間（構造の手当て）

  • メモリ観測の平時化
    • EDRのメモリスキャン/ふるまい検知機能を有効化し、AMSI/ETWの無効化・パッチ痕を検知するルールを追加します（T1562の兆候）です。
    • Sysmonの基本セット（ProcessCreate/NetworkConnect/ImageLoad/ProcessAccess/DNS）を再点検し、Windows/Mac/Linuxのテレメトリを同一データモデルで統合します。
  • 実行制御とローダー殺し
    • ASR/AppLocker/WDACで「Officeからの子プロセス生成禁止」「疑わしいスクリプト実行抑止」「不明DLLのローディング制限」を適用します。Macは実行権限/署名検証、LinuxはSELinux/AppArmorで同等の制御を検討します。
    • ローカルに配置される暗号化ペイロードへの対処として、“暗号化ファイル→即時復号→即時実行”のアクセスパターンをUEBAで異常検知対象にします。
  • 社会工学対策の現実解
    • 偽採用・投資話法に的を絞った模擬演習を実施し、LinkedIn等の業務SNSでのやり取り方針を明文化します。添付/リンク経由の実行は“検査サンドボックス経由”を標準フローにします。

• 暗号資産・金融業の業務ガードレール

  • 鍵・資金の隔離
    • ホット/ウォーム/コールドの分離を厳格化し、ホットは限額・速断停止スイッチを用意します。HSMやMPCの導入・見直しを優先度高で進めます。
  • 出金の異常検知
    • 先方アドレスの新規性、金額のスパイク、時間帯、オペレータの端末指紋変化を特徴量にしたルールを即時本番化し、機械判定＋人手承認の二段式にします。
  • 侵害前提の演習
    • 「最悪、ホットウォレットが握られた」前提で、即時の出金停止・ブロックチェーン監視・取引所連携・当局通報までのチェックリストと連絡網を更新します。

• ハンティングとレッドチーミングの焦点（仮説）

  • DPAPIの不審利用、反射型ロードやCreateRemoteThread系列、AMSI/ETW無効化試行、短寿命プロセスの外向通信を重点項目に据えます。
  • ATT&CKでの主な焦点技術
    • 初期アクセス: T1566（スピアフィッシング）
    • 実行: T1204（ユーザ実行）、T1059（スクリプト）
    • 防御回避: T1027.009（復号/難読化解除）、T1620（反射型ロード）、T1055（プロセスインジェクション）、T1562（防御妨害）
    • 永続化: T1547/T1543（自動起動/サービス, 環境により）
    • C2: T1071.001（Web）、T1573（暗号化）
    • 窃取・外送: T1552/T1550（資格情報/トークン, 環境により）、T1041（C2経由の外送）

最後に一言です。RemotePEは“未知の怪物”というより、“既知の名手が、守りの盲点を着実に突く”系の脅威です。検知の主戦場をディスクからメモリへ、OSサイロから統合相関へ、技術単独から業務ガバナンス併走へ。方向さえ合えば、明日からの運用でも一歩強くなれます。攻撃者は多段で来ます。私たちも多層で受けて立つだけです。