朝鮮黑客組織Lazarus部署無文件木馬RemotePE,攻擊加密公司和銀行
攻擊手法與技術細節
根據Cryptopolitan報導,朝鮮黑客組織Lazarus Group已部署一種名為RemotePE的無文件遠端訪問木馬(RAT),該木馬完全運行於記憶體中,傳統防毒與取證工具難以檢測。
攻擊者透過Telegram冒充交易公司員工,使用偽造的Calendly與Picktime連結進行社交工程攻擊,誘導目標下載惡意軟體。
惡意軟體運行機制
RemotePE惡意軟體透過三階段鏈式載入機制運行:首先由DPAPILoader載入,接著RemotePELoader載入,最終執行RemotePE本身,整個過程不觸及檔案系統,有效避免被傳統防護機制偵測。
反偵測與隱藏技術
- 利用「進程挖空」技術隱藏自身存在。
- 實施反分析檢查,以防止被逆向工程。
- 透過加密C2(Command and Control)通訊,避免被監控與截取。
攻擊目標與背景
Lazarus Group長期針對銀行與加密貨幣交易所發動攻擊,其攻擊手法包括魚叉式網絡釣魚、零日漏洞利用與定製惡意軟體。
該組織曾涉及多起重大事件,例如2025年對Bybit的15億美元黑客攻擊,以及多起針對加密交易所與支付公司的竊取事件。
來源:https://www.panewslab.com/zh/articles/019e61c9-ebab-7554-a50d-011e103ef57c