北韓 Lazarus 在新型加密貨幣攻擊中轉向無檔案惡意軟體

網路安全分析師發現了一款名為 RemotePE 的新型無檔案遠端存取木馬（RAT）。據信與北韓有關的網路犯罪組織 Lazarus Group 正利用該木馬攻擊銀行及加密貨幣公司。

根據最新分析，這款惡意軟體完全在記憶體中運行，幾乎不會在受影響的電腦系統上留下任何痕跡。

Lazarus Group 利用社交工程欺詐投資者

Lazarus Group 透過社交工程技術發起攻擊。他們透過 Telegram 冒充交易公司員工，並使用廣泛用於安排會議的 Calendly 和 Picktime 的偽造版本。

在獲得會議批准後，一連串事件隨即展開，直至第一個惡意軟體被安裝完成。這種「人在迴路」方法使 Lazarus 的操作人員能夠設計出有效的誘餌。

該惡意軟體透過一個精心協調的三階段鏈運作，旨在減少磁碟操作。第一階段是 DPAPILoader，這是一個動態連結程式庫（DLL），自 2023 年 11 月起以檔案名 Iassvc.dll 為人所知。

該程式使用 Windows 資料保護應用程式介面（DPAPI）來解密儲存在磁碟上的有效載荷。

解密後的有效載荷隨即傳遞給 RemotePELoader，後者會建立與 aes-secure[.]net 上 C2 的 HTTP 連線，並下載最後的 RemotePE 階段並在記憶體中執行。

為繞過 EDR 解決方案，RemotePELoader 使用 Hell's Gate 技術和 ETW Patching 來規避偵測。

最終，RemotePE RAT 的主要有效載荷從未與檔案系統接觸，在整個攻擊鏈中始終保持極低的取證可見性。這款惡意軟體於 2025 年 9 月首次被發現。

在所報告的事件中，一家去中心化金融（DeFi）公司的基礎設施遭到三種不同 RAT——RemotePE、PondRAT 和 ThemeForestRAT——的入侵，這些 RAT 最終相互取代。

先進技術與 AI 成為交易者最大的夢魘

此前，加密貨幣投資者借助 AI 和技術來簡化交易流程。如今，同樣的工具已落入駭客之手，給他們造成了巨大的財務損失。

DPAPI 環境金鑰、僅限記憶體執行、ETW Patching 和 Hell's Gate 使 RemotePE 幾乎無法透過傳統方法偵測。NCC Group 旗下附屬機構 Fox-IT 的分析師指出，這些特徵表明該惡意軟體設計用於長期潛伏，在發動攻擊前進行偵察，與典型的破壞性惡意軟體攻擊截然不同。

Lazarus Group 在 2026 年前四個月已竊取約 5.77 億美元的加密貨幣。根據區塊鏈分析公司 TRM Labs 的數據，儘管僅發生了兩起重大駭客事件，這一數字已佔全球所有加密貨幣盜竊案的 76%。

可歸因於北韓的加密貨幣駭客攻擊比例急劇上升，從前幾年的個位數增加到 2025 年的 64%，再增加到 2026 年的 76%。自 2017 年以來，其創紀錄的盜竊金額已達 60 億美元。據稱，這些資金在制裁下為該國的武器和核武發展計畫提供資金。

駭客利用 AI 打擊主要科技機構背後的開發者

網路安全專家發現了一起大規模攻擊事件，駭客針對逾 700 個使用 Ghost 內容管理系統的網站，利用一個嚴重的 SQL 注入漏洞。這些網路攻擊使攻擊者獲取了管理員帳戶的使用者名稱和密碼，並透過 JavaScript 重新導向將惡意軟體注入其 ClickFix 分發渠道。

受攻擊的平台包括學術機構、AI 專案、區塊鏈服務、軟體即服務供應商、網路安全研究來源、新聞機構和金融科技公司。

遭遇假冒 CAPTCHA 的受害者被要求在執行對話方塊中輸入 Base64 編碼的字串。在此步驟中，他們可以下載一個包含批次腳本的 ZIP 檔案。該批次腳本隨後執行 PowerShell 命令，從遠端伺服器獲取已簽署的 DLL 或 JavaScript 檔案。

早期版本的惡意軟體使用 rundll32.exe 執行 DLL。然而，最新版本會為名為 Grape 的 Electron 應用程式開源版本安裝 Inno Setup 安裝程式。安裝完成後，惡意軟體便會持續存在，並每 30 秒輪詢一次 C2 網域 web-telegram[.]ug。

最聰明的加密貨幣思維已在閱讀我們的電子報。想加入嗎？立即加入他們。