Lazarus駭客組織改用純記憶體工具RemotePE鎖定金融機構

北韓 Lazarus 駭客組織放棄 ThemeForestRAT 和 PondRAT,改用全記憶體運作三階段工具組(DPAPILoader → RemotePELoader → RemotePE),鎖定金融機構與加密貨幣機構。由 Fox IT 研究揭露(2026-05-22 技術分析)。

工具組架構

元件功能
DPAPILoader濫用Windows服務/DLL側載啟動;利用DPAPI解密並載入下一階段
RemotePELoader連接C2擷取RemotePE核心模組;含兩種反偵測技術
RemotePE完整RAT功能,C++物件導向,純記憶體執行

反偵測技術

HellsGate(源自TartarusGate)

  • 動態解析Windows系統呼叫編號
  • 直接系統呼叫繞過掛鉤,解除端點防護系統

ETW填補

  • 覆寫 EtwEventWrite() 使ETW事件記錄停止
  • 讓依賴ETW的資安工具失效

DPAPI防分析機制

  • 金鑰與特定使用者帳號綁定,上傳VirusTotal後難以分析

RemotePE RAT功能

  • 兩執行緒:C2通訊 + 指令處理
  • 支援6種指令類型
  • 安全刪除:覆寫7次後改名刪除
  • 外掛機制:可動態註冊DLL有效酬載

來源文章

相關頁面