Lazarus駭客組織改用純記憶體工具RemotePE鎖定金融機構
北韓 Lazarus 駭客組織放棄 ThemeForestRAT 和 PondRAT,改用全記憶體運作三階段工具組(DPAPILoader → RemotePELoader → RemotePE),鎖定金融機構與加密貨幣機構。由 Fox IT 研究揭露(2026-05-22 技術分析)。
工具組架構
| 元件 | 功能 |
|---|---|
| DPAPILoader | 濫用Windows服務/DLL側載啟動;利用DPAPI解密並載入下一階段 |
| RemotePELoader | 連接C2擷取RemotePE核心模組;含兩種反偵測技術 |
| RemotePE | 完整RAT功能,C++物件導向,純記憶體執行 |
反偵測技術
HellsGate(源自TartarusGate)
- 動態解析Windows系統呼叫編號
- 直接系統呼叫繞過掛鉤,解除端點防護系統
ETW填補
- 覆寫
EtwEventWrite()使ETW事件記錄停止 - 讓依賴ETW的資安工具失效
DPAPI防分析機制
- 金鑰與特定使用者帳號綁定,上傳VirusTotal後難以分析
RemotePE RAT功能
- 兩執行緒:C2通訊 + 指令處理
- 支援6種指令類型
- 安全刪除:覆寫7次後改名刪除
- 外掛機制:可動態註冊DLL有效酬載
來源文章
相關頁面
- lazarus — 攻擊者組織