北韓駭客Lazarus鎖定金融與加密貨幣機構,散布惡意軟體RemotePE

來源: iThome(ID: 614)| URL: https://www.ithome.com.tw/news/176122 | 日期: 2026-05-27

內容摘要

Fox IT 研究發現北韓 Lazarus 駭客組織放棄 ThemeForestRAT 和 PondRAT,改用全記憶體運作工具組 RemotePE,鎖定金融機構與加密貨幣機構。

攻擊鏈

惡意程式功能
DPAPILoader濫用Windows服務/側載啟動;利用DPAPI解密並載入下一階段
RemotePELoader連接C2擷取RemotePE核心模組;含兩種反偵測技術
RemotePE完整RAT功能,C++物件導向撰寫

反偵測技術

HellsGate(源自TartarusGate)

  • 動態解析系統呼叫編號
  • 直接系統呼叫繞過掛鉤
  • 重新映射所有DLL,解除端點防護掛鉤

ETW填補

  • 覆寫 EtwEventWrite() 函式使ETW事件記錄停止
  • 讓依賴ETW的資安工具失效

DPAPI防分析機制

金鑰與特定使用者帳號綁定,即使酬載上傳至VirusTotal也因缺乏金鑰難以分析。

RemotePE RAT功能

  • 兩個執行緒:C2通訊 + 指令處理
  • 6種指令類型
  • 安全刪除:覆寫7次後改名刪除
  • 外掛機制:可動態註冊DLL有效酬載

衍生頁面