在网络安全领域,一个令人担忧的新动态浮出水面,北朝鲜的拉撒路集团(Lazarus Group)开发了一种隐秘的恶意软件。这种新型“RemotePE”无文件远程访问工具旨在渗透银行和加密货币企业,且不会在受害系统上留下明显的痕迹。
他们是如何获取信任的?
拉撒路集团的作案手法涉及复杂的社会工程技术。他们在Telegram等平台上伪装成投资公司员工,诱使目标接受通过Calendly等系统发送的虚假会议邀请。这种以人为本的方法显著提高了他们攻击的成功率。
网络安全专家指出:“拉撒路集团利用社会工程学,通过建立受害者信任关系,开启了恶意软件安装的第一步。”
这种恶意软件为何如此难以捉摸?
这项操作的核心是一种名为DPAPILoader的动态链接库(DLL),它利用Windows DPAPI解锁第二个有效载荷。然后,从远程指挥与控制服务器提取该有效载荷,直接加载到系统内存中,无需写入磁盘,使RemotePE恶意软件几乎以隐形状态运作。
通过利用如Hell’s Gate和ETW Patching等先进技术,RemotePELoader有效绕过传统的检测方法。最近的一次攻击通过部署三种远程访问工具(RemotePE、PondRAT和ThemeForestRAT)同步入侵了一个DeFi公司的基础设施。
– RemotePE:活跃于2025-2026,针对加密和银行领域,检测难度极高。
– PondRAT:在2025年使用,影响DeFi和金融领域,检测难度较高。
– ThemeForestRAT:在2025年部署,检测难度高,针对金融领域。
日益严峻的担忧与经济影响
Fox-IT的技术评估确认,RemotePE对内存操作的独特依赖使其抵御传统的杀毒工具。报告称,拉撒路集团在2026年已提取了高达5.77亿美元的加密货币,负责了年初大部分网络盗窃事件。
根据TRM Labs的数据显示:“与北朝鲜相关的黑客在2026年前四个月内,仅在两起事件中窃取了价值5.77亿美元的数字资产。”
北朝鲜在加密犯罪中的参与在2026年占全球盗窃的76%,较去年有所上升。从2017年至今,累计被盗资产已达60亿美元,疑似为其有争议的武器项目提供资金。
与此同时,已经有报道称利用人工智能技术,表明网络犯罪分子不仅在变得更聪明,而且更加精通技术。这导致数百个网站的数据泄露,受到Ghost内容管理系统漏洞的利用。
随着拉撒路集团持续进行数字盗窃及网络脆弱性的加剧,网络安全形势愈发严峻。