網絡安全分析師發現了一種名為 RemotePE 的新型無文件遠程訪問木馬 (RAT)。據信與朝鮮有關聯的網絡犯罪組織 Lazarus Group 正在利用該木馬攻擊銀行和加密貨幣公司。
根據最近的一項分析,這種惡意軟件完全在內存中運行,因此幾乎不可能在受影響的計算機系統上留下任何痕跡。
拉扎勒斯集團利用社會工程學手段欺騙投資者。
拉撒路集團首先利用社交工程技術發起攻擊。他們通過 Telegram 冒充交易公司的員工。為此,他們使用了 Calendly 和 Picktime 的偽造版本,這兩款軟件廣泛用於安排會議。
在獲得會議批准後,一系列事件會持續進行,直至第一個惡意軟件被安裝。這種“人為干預”的方法使拉撒路攻擊者能夠設計出有效的誘餌。
該惡意軟件通過精心設計的三階段鏈運行,旨在減少磁盤操作。第一階段是 DPAPILoader。這是一個動態鏈接庫 (DLL),自 2023 年 11 月起,其文件名也為 Iassvc.dll。
該程序使用 Windows 數據保護應用程序編程接口 (DPAPI) 來Decrypt存儲在磁盤上的有效載荷。
解密後的有效載荷隨後被傳遞給 RemotePELoader,後者會與 aes-secure[.]net 的 C2 服務器建立 HTTP 連接。之後,它會在內存中下載並運行最後一個 RemotePE 階段。
為了繞過 EDR 解決方案,RemotePELoader 使用地獄之門技術和 ETW 補丁來逃避檢測。
最後,RemotePE RAT 的主要有效載荷從未與文件系統接觸,從而在整個攻擊鏈中保持了較低的取證可見性。該惡意軟件於 2025 年 9 月首次被發現。
據報道,在這次事件中,一家去中心化金融 (DeFi) 公司的基礎設施遭到了三種不同的 RAT(RemotePE、PondRAT 和 ThemeForestRAT)的攻擊,這些 RAT 最終相互取代。
先進技術和人工智能正成為交易員的噩夢
此前,加密貨幣投資者藉助人工智能和技術來簡化交易流程。如今,這些工具卻落入了黑客之手,給他們造成了巨大的經濟損失。
RemotePE 惡意軟件利用 DPAPI 進行環境密鑰加密、僅內存執行、ETW 修補以及 Hell's Gate 漏洞,使得傳統方法幾乎無法檢測到它。NCC 集團旗下公司 Fox-IT 的分析師指出,這些特性表明,與典型的破壞性惡意軟件攻擊不同,該惡意軟件旨在長期維持自身運行,以便在發動攻擊前進行偵察。
據區塊鏈分析公司 TRM Labs 稱,Lazarus Group 在 2026 年前四個月已經竊取了約 5.77 億美元的加密貨幣。儘管只發生了兩起重大黑客事件,但這仍然佔全球所有加密貨幣盜竊案的 76%。
歸因於朝鮮的加密貨幣黑客攻擊比例急劇上升。從前幾年的個位數增至2025年的64%和2026年的76%。自2017年以來,朝鮮竊取的金額已達60億美元。據稱,這些資金被用於資助朝鮮在制裁下進行的武器和核武器研發項目。
黑客利用人工智能破壞大型科技公司背後的開發人員。
網絡安全專家發現了一起大規模攻擊事件,黑客利用Ghost內容管理系統的一個嚴重SQL注入漏洞,攻擊了700多個網站。此次網絡攻擊使攻擊者能夠獲取管理員賬戶的用戶名和密碼,並通過JavaScript重定向將惡意軟件注入到ClickFix分發渠道中。
目標平臺包括學術機構、人工智能項目、區塊鏈服務、軟件即服務供應商、網絡安全研究機構、新聞機構和金融科技公司。
遇到虛假驗證碼的用戶會被要求在“運行”對話框中輸入一段 Base64 編碼的字符串。在此步驟中,他們可以下載一個包含批處理腳本的 ZIP 文件。該批處理腳本隨後會運行一個 PowerShell 命令,該命令會從遠程服務器獲取已簽名的 DLL 文件或 JavaScript 文件。
早期版本的惡意軟件會使用 rundll32.exe 運行一個 DLL 文件。然而,最新版本會安裝一個名為 Grape 的開源 Electron 應用程序的 Inno Setup 安裝程序。安裝完成後,該惡意軟件會持續運行,並每 30 秒輪詢一次 C2 域名 web-telegram[.]ug。
