近期网络安全监测发现,朝鲜背后的 Lazarus 组织正大规模部署一款名为 RemotePE 的无文件远程访问工具,该恶意软件专为渗透金融机构与加密货币企业而设计,具备极强的潜伏能力,可在系统中实现近乎零痕迹运行。
该组织采用高度定制化的社会工程战术,伪装成投资机构人员在 Telegram 等即时通讯平台展开接触。通过引导受害者使用 Calendly 等预约系统接受虚假会议邀请,逐步建立信任关系,从而完成初始攻击链的构建。
业内分析指出:“这种基于人际互动的渗透方式显著提升了攻击成功率,使传统防御机制难以及时识别。”
攻击核心依赖一个名为 DPAPILoader 的动态链接库,其利用 Windows 数据保护接口解密并加载第二阶段有效载荷。该载荷直接注入内存,不落盘、不写入磁盘,实现完全的内存驻留运行。
结合 Hell's Gate 和 ETW 修补等前沿技术手段,该组件可有效绕过主流杀毒软件与端点防护系统的扫描机制。在一次典型事件中,攻击者同步启用 RemotePE、PondRAT 与 ThemeForestRAT 三类远程控制工具,成功突破某去中心化金融平台的安全防线。
其中,RemotePE 主要活跃于2025至2026年间,聚焦加密资产与银行系统,检测难度极高;PondRAT 自2025年起投入使用,影响范围涵盖传统金融与 DeFi 领域;ThemeForestRAT 同期部署,以高隐蔽性著称,主要针对金融行业。
技术评估表明,由于完全依赖内存执行,RemotePE 能够有效抵御传统反病毒工具的侦测。数据显示,仅2026年一年内,该组织即盗取价值5.77亿美元的加密货币,占当年前几个月全球网络犯罪案件的主导份额。
相关统计显示,2026年朝鲜关联黑客在全球数字资产盗窃案中的占比已达76%,较以往明显上升。自2017年以来,累计被盗金额高达60亿美元,资金流向被普遍认为用于支持其军事研发项目。
此外,人工智能技术正被越来越多地应用于网络攻击中,包括利用 Ghost 内容管理系统漏洞实施大规模数据泄露。随着攻击手法不断演进,防范体系亟需同步升级,以应对日益复杂的数字威胁环境。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.