北韓駭客Lazarus鎖定金融與加密貨幣機構,散布惡意軟體RemotePE
來源: iThome(ID: 614)| URL: https://www.ithome.com.tw/news/176122 | 日期: 2026-05-27
內容摘要
Fox IT 研究發現北韓 Lazarus 駭客組織放棄 ThemeForestRAT 和 PondRAT,改用全記憶體運作工具組 RemotePE,鎖定金融機構與加密貨幣機構。
攻擊鏈
| 惡意程式 | 功能 |
|---|---|
| DPAPILoader | 濫用Windows服務/側載啟動;利用DPAPI解密並載入下一階段 |
| RemotePELoader | 連接C2擷取RemotePE核心模組;含兩種反偵測技術 |
| RemotePE | 完整RAT功能,C++物件導向撰寫 |
反偵測技術
HellsGate(源自TartarusGate)
- 動態解析系統呼叫編號
- 直接系統呼叫繞過掛鉤
- 重新映射所有DLL,解除端點防護掛鉤
ETW填補
- 覆寫
EtwEventWrite()函式使ETW事件記錄停止 - 讓依賴ETW的資安工具失效
DPAPI防分析機制
金鑰與特定使用者帳號綁定,即使酬載上傳至VirusTotal也因缺乏金鑰難以分析。
RemotePE RAT功能
- 兩個執行緒:C2通訊 + 指令處理
- 6種指令類型
- 安全刪除:覆寫7次後改名刪除
- 外掛機制:可動態註冊DLL有效酬載