กลุ่ม Lazarus ของเกาหลีเหนือหันมาใช้มัลแวร์แบบไร้ไฟล์ในการโจมตีคริปโตครั้งใหม่
นักวิเคราะห์ด้านความปลอดภัยทางไซเบอร์ค้นพบโทรจันเข้าถึงระยะไกลแบบไม่มีไฟล์ (RAT) ตัวใหม่ที่ชื่อว่า RemotePE ซึ่งกำลังถูกใช้งานโดย Lazarus Group กลุ่มอาชญากรรมทางไซเบอร์ที่เชื่อว่ามีความเชื่อมโยงกับเกาหลีเหนือ เพื่อโจมตีธนาคารและบริษัทคริปโต
จากการวิเคราะห์ล่าสุด มัลแวร์ตัวนี้ทำงานทั้งหมดในหน่วยความจำ ทำให้แทบจะเป็นไปไม่ได้เลยที่จะทิ้งร่องรอยไว้บนระบบคอมพิวเตอร์ที่ได้รับผลกระทบ
Lazarus Group พึ่งพาวิศวกรรมสังคมเพื่อหลอกลวงนักลงทุน
Lazarus Group เริ่มต้นการโจมตีด้วยเทคนิควิศวกรรมสังคม โดยแอบอ้างเป็นพนักงานของบริษัทซื้อขายผ่าน Telegram เพื่อดำเนินการนี้ ผู้ก่อเหตุใช้สำเนาปลอมของ Calendly และ Picktime ซึ่งเป็นเครื่องมือที่ใช้กันอย่างแพร่หลายในการนัดหมายประชุม
หลังจากได้รับการอนุมัติการประชุม ห่วงโซ่ของเหตุการณ์ก็ดำเนินต่อไปจนกระทั่งมีการติดตั้งมัลแวร์ชิ้นแรก วิธีการ "human in the loop" นี้ช่วยให้ผู้ปฏิบัติการ Lazarus พัฒนาเหยื่อล่อที่มีประสิทธิภาพได้
มัลแวร์ทำงานผ่านห่วงโซ่สามขั้นตอนที่ประสานกันอย่างดี โดยมีเป้าหมายเพื่อลดการดำเนินการบนดิสก์ ขั้นแรกคือ DPAPILoader ซึ่งเป็น dynamic-link library (DLL) ที่รู้จักกันในชื่อไฟล์ Iassvc.dll ตั้งแต่เดือนพฤศจิกายน 2023
โปรแกรมใช้ Windows Data Protection Application Programming Interface (DPAPI) เพื่อถอดรหัสเพย์โหลดที่จัดเก็บไว้บนดิสก์
จากนั้นเพย์โหลดที่ถอดรหัสแล้วจะถูกส่งต่อไปยัง RemotePELoader ซึ่งสร้างการเชื่อมต่อ HTTP ไปยัง C2 ที่ aes-secure[.]net หลังจากนั้นจะดาวน์โหลดและรันขั้นตอนสุดท้ายของ RemotePE ในหน่วยความจำ
เพื่อหลีกเลี่ยงโซลูชัน EDR RemotePELoader ใช้เทคนิค Hell's Gate และ ETW Patching เพื่อหลบเลี่ยงการตรวจจับ
Lazarus Group turns into silent crypto assassins. Source. X.
สุดท้าย เพย์โหลดหลักของ RemotePE RAT ไม่เคยสัมผัสกับระบบไฟล์เลย ทำให้มีการมองเห็นทางนิติวิทยาศาสตร์ต่ำตลอดห่วงโซ่การโจมตีทั้งหมด มัลแวร์นี้ถูกค้นพบครั้งแรกในเดือนกันยายน 2025
ในเหตุการณ์ที่รายงาน บริษัทการเงินแบบกระจายศูนย์ (DeFi) แห่งหนึ่งมีโครงสร้างพื้นฐานถูกโจมตีโดย RAT สามตัวที่แตกต่างกัน ได้แก่ RemotePE, PondRAT และ ThemeForestRAT ซึ่งในที่สุดก็สลับแทนที่กันและกัน
เทคโนโลยีขั้นสูงและ AI กลายเป็นฝันร้ายที่เลวร้ายที่สุดของเทรดเดอร์
เมื่อก่อน นักลงทุนคริปโตหันมาใช้ AI และเทคโนโลยีเพื่อปรับปรุงการซื้อขาย แต่ตอนนี้เครื่องมือเดียวกันนั้นได้ตกไปอยู่ในมือของแฮกเกอร์ ทำให้เกิดความเจ็บปวดทางการเงินอย่างมหาศาล
การกำหนดคีย์ตามสภาพแวดล้อมโดย DPAPI การรันในหน่วยความจำเท่านั้น ETW patching และ Hell's Gate ทำให้ RemotePE แทบจะตรวจจับไม่ได้ด้วยวิธีการแบบดั้งเดิม นักวิเคราะห์จาก Fox-IT บริษัทในเครือของ NCC Group ได้ระบุว่าลักษณะเหล่านี้บ่งชี้ว่ามัลแวร์ได้รับการออกแบบให้ดำรงอยู่ในระยะยาวเพื่อทำการลาดตระเวนก่อนเปิดการโจมตี ต่างจากการโจมตีของมัลแวร์ที่สร้างความเสียหายทั่วไป
Lazarus Group ได้ขโมยคริปโตไปแล้วประมาณ 577 ล้านดอลลาร์ในช่วงสี่เดือนแรกของปี 2026 คิดเป็น 76% ของการโจรกรรมคริปโตทั้งหมดทั่วโลก แม้จะมีเหตุการณ์แฮกครั้งใหญ่เพียงสองครั้ง ตามข้อมูลของบริษัทวิเคราะห์บล็อกเชน TRM Labs
เปอร์เซ็นต์ของการแฮกคริปโตที่มาจากเกาหลีเหนือเพิ่มขึ้นอย่างรวดเร็ว จากตัวเลขหลักเดียวในปีก่อนหน้า เป็น 64% ในปี 2025 และ 76% ในปี 2026 ยอดเงินที่ขโมยได้รวมทั้งหมดอยู่ที่ 6 พันล้านดอลลาร์นับตั้งแต่ปี 2017 เงินเหล่านี้ถูกกล่าวหาว่านำไปใช้ในการพัฒนาอาวุธและโครงการนิวเคลียร์ของประเทศท่ามกลางมาตรการคว่ำบาตร
แฮกเกอร์หันมาใช้ AI เพื่อทำลายเสถียรภาพของนักพัฒนาเบื้องหลังองค์กรเทคโนโลยีชั้นนำ
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ค้นพบการโจมตีขนาดใหญ่ที่แฮกเกอร์กำหนดเป้าหมายไปยังเว็บไซต์กว่า 700 แห่งที่ใช้ Ghost Content Management System โดยใช้ประโยชน์จากช่องโหว่การแทรก SQL ที่สำคัญ การโจมตีทางไซเบอร์ดังกล่าวทำให้ผู้โจมตีสามารถเข้าถึงชื่อผู้ใช้และรหัสผ่านของบัญชีผู้ดูแลระบบ ทำให้สามารถแทรกมัลแวร์ผ่านการเปลี่ยนเส้นทาง JavaScript เข้าสู่ช่องทางการแจกจ่าย ClickFix ของตน
แพลตฟอร์มเป้าหมายได้แก่ สถาบันการศึกษา โครงการด้าน AI บริการบล็อกเชน ผู้ให้บริการซอฟต์แวร์แบบ SaaS แหล่งวิจัยด้านความปลอดภัยทางไซเบอร์ สำนักข่าว และบริษัทฟินเทค
เหยื่อที่พบกับ CAPTCHA ปลอมจะถูกขอให้กรอกสตริงที่เข้ารหัส Base64 ลงในกล่องโต้ตอบ Run ในขั้นตอนนี้พวกเขาสามารถดาวน์โหลดไฟล์ ZIP ที่มี batch script อยู่ภายใน จากนั้น batch script นี้จะรันคำสั่ง PowerShell ที่จะดึงไฟล์ DLL ที่มีลายเซ็นหรือไฟล์ JavaScript จากเซิร์ฟเวอร์ระยะไกล
เวอร์ชันก่อนหน้าของมัลแวร์จะรัน DLL โดยใช้ rundll32.exe อย่างไรก็ตาม เวอร์ชันล่าสุดจะติดตั้ง Inno Setup installer สำหรับเวอร์ชันโอเพนซอร์สของแอปพลิเคชัน Electron ที่ชื่อว่า Grape หลังการติดตั้ง มัลแวร์จะคงอยู่และส่ง poll ไปยังโดเมน C2 web-telegram[.]ug ทุก 30 วินาที
นักคิดด้านคริปโตที่ฉลาดที่สุดอ่านจดหมายข่าวของเราอยู่แล้ว ต้องการเข้าร่วมไหม? มาร่วมกับพวกเขา
คุณอาจชอบเช่นกัน
Pi Network กำลังสร้างสิ่งที่โปรเจกต์คริปโตส่วนใหญ่ไม่เคยทำได้สำเร็จอย่างเงียบๆ
เจาะลึก GPT Image 2: โมเดลภาพอันดับ 1 ของ OpenAI กำลังเปลี่ยนแปลงขั้นตอนการทำงานด้านการตลาดในปี 2026 อย่างไร
หุ้น Nvidia (NVDA): Stifel และ Mizuho ปรับเพิ่มเป้าหมายราคา เนื่องจากความต้องการ AI ยังคงแข็งแกร่ง
