ภูมิทัศน์ด้านความปลอดภัยไซเบอร์ที่เผชิญหน้ากับสกุลเงินดิจิตอลและการเงินแบบกระจายศูนย์ (DeFi)กลุ่มอุตสาหกรรมได้ถึงจุดเปลี่ยนที่สำคัญแล้ว ขณะที่ผู้กระทำการที่เป็นภัยกำลังปรับปรุงกลยุทธ์ของตน ขนาดของการโจรกรรมทางการเงินได้เพิ่มขึ้นในอัตราที่น่าวิตก

ที่ศูนย์ของวิกฤตนี้คือกลุ่มที่มีชื่อเสียงซึ่งได้รับการสนับสนุนจากรัฐที่ดำเนินงานจากเกาหลีเหนือ。

การพัฒนานี้ไม่ใช่เพียงแค่เป็นเชิงเทคนิค; มันเป็นกลไกหลักที่อยู่เบื้องหลังสินทรัพย์ดิจิทัลที่ถูกขโมยไปหลายร้อยล้านในช่วงเดือนแรกของปี 2026 เพียงปีเดียว.

ข้อสรุปสำคัญ

• กลุ่มลาซารัสของใหม่ใช้มัลแวร์ RemotePE ที่ทำงานภายในหน่วยความจำระบบทั้งหมด โดยไม่ทิ้งไฟล์ใด ๆ บนฮาร์ดไดรฟ์ และทำให้เครื่องมือป้องกันไวรัสแบบดั้งเดิมและเครื่องมือ EDR ส่วนใหญ่ไร้ประสิทธิภาพ
• โดยการใช้ลิงก์ Calendly และ Picktime ปลอมใน Telegram แฮ็กเกอร์ใช้การโจมตีทางสังคมที่มุ่งเป้าไปยังบุคคลเพื่อหลอกลวงพนักงานให้เริ่มต้นการติดเชื้อที่จำเพียงแค่หน่วยความจำ
• ผลกระทบทางการเงินไม่เคยเกิดขึ้นมาก่อน โดยกลุ่มนี้ขโมยเงินไป 577 ล้านดอลลาร์ในช่วงสี่เดือนแรกของปี 2026 เพียงเท่านั้น คิดเป็นสัดส่วนที่น่าทึ่งถึง 76% ของการโจรกรรมสกุลเงินดิจิทัลในระดับโลกทั้งหมดในช่วงเวลานั้น

ทำการซื้อขายด้วยความมั่นใจ Bitrue เป็นแพลตฟอร์มที่ปลอดภัยและน่าเชื่อถือ แพลตฟอร์มการซื้อขายสกุลเงินดิจิทัลสำหรับการซื้อ ขาย และแลกเปลี่ยน Bitcoin และ altcoins.

การหลบหลีกการป้องกันจุดสิ้นสุดแบบดั้งเดิม

เป็นเวลาหลายปีที่ระบบการตรวจจับและตอบสนองต่อจุดสิ้นสุด (EDR) ได้พึ่งพาอาร์ติแฟกต์ในไฟล์ระบบและข้อมูลการเขียนดิสก์เพื่อระบุ แยก และกักกันซอฟต์แวร์ที่เป็นอันตราย

Recognizing this industry-standard defensive posture, the Lazarus group deployed fileless trojan architectures designed explicitly to render legacy antivirus protocols obsolete.

โดยการทำงานภายในหน่วยความจำเข้าถึงสุ่ม (RAM) ของระบบที่ถูกบุกรุกอย่างสมบูรณ์ คลาสใหม่ของมัลแวร์ leaves absolutely zero digital footprints on the hard drive.

สำหรับทีมความมั่นคงที่พึ่งพาเครื่องมือฟอเรนซิกแบบดั้งเดิม การบุกรุกแทบจะมองไม่เห็น ทำให้ผู้กระทำการคุกคามสามารถรักษาการเข้าถึงเครือข่ายที่มีมูลค่าสูงได้อย่างเงียบ ๆ ในระยะยาว

อ่านเพิ่มเติม: Aave rsETH Operations Resume After Hack

กลไกและการปรับใช้ RemotePE

นักวิจัยด้านความปลอดภัยจาก Fox-IT ซึ่งเป็นบริษัทในเครือของ NCC Group ได้ทำการแยกย่อยโครงสร้างของแคมเปญที่ซับซ้อนนี้เมื่อเร็วๆ นี้

พวกเขาค้นพบว่ากลุ่มลาซารัสได้ใช้งาน RemotePE ซึ่งเป็นมัลติสเตจรีโมทแอ็กเซสโทรจัน (RAT) ที่สร้างขึ้นเพื่อการสังเกตการณ์อย่างต่อเนื่องและการโจรกรรมทางการเงินที่มีผลกระทบสูง

วงจรการบุกรุกเริ่มต้นด้วยการสร้างสรรค์วิศวกรรมสังคมอย่างพิถีพิถันแทนที่จะใช้ช่องโหว่แบบซูเปอร์วันแบบใช้แรง brute-force ผู้โจมตีแทรกซึมแพลตฟอร์มต่างๆ เช่น Telegram โดยแสร้งทำเป็นพนักงานของบริษัทการค้าที่ถูกต้องตามกฎหมายหรือผู้สรรหา

พวกเขาจัดจำหน่ายลิงก์การกำหนดเวลาหลอกลวงที่เลียนแบบแพลตฟอร์ม SaaS ที่เชื่อถือได้ เช่น Calendly และ Picktime ได้อย่างสมบูรณ์แบบ เมื่อเป้าหมายมีปฏิสัมพันธ์กับลิงก์ที่เป็นอันตราย ระบบการติดเชื้อที่ซับซ้อนซึ่งมีสามชั้นจะเริ่มต้นขึ้น:

1. DPAPILoader: การละเมิดเริ่มต้นใช้ Windows Data Protection API (DPAPI) เพื่อถอดรหัส payload ที่เข้ารหัสซึ่งซ่อนอยู่บนดิสก์อย่างปลอดภัย ซึ่งเป็นเทคนิคที่ถูกค้นพบครั้งแรกในช่วงปลายปี 2023.
2. RemotePELoader:

   ขั้นตอนกลางนี้ติดต่อกับเซิร์ฟเวอร์คำสั่งและควบคุม (C2) ทางระยะไกลผ่าน HTTP มันเรียกโมดูลอันตรายหลักและฉีดมันลงในหน่วยความจำโดยตรง สำคัญที่สุดคือ มันใช้งานเทคนิคการหลบเลี่ยงอย่างแข็งขัน เช่น Hell’s Gate และการแก้ไข Event Tracing สำหรับ Windows (ETW) เพื่อปิดกั้นการแจ้งเตือนด้านความปลอดภัยในระบบ

3. RemotePE: RAT สุดท้ายทำงานทั้งหมดใน RAM มันให้การควบคุมการดำเนินงานทั้งหมดแก่ผู้โจมตี ทำให้พวกเขาสามารถ ping เซิร์ฟเวอร์, จัดการกระบวนการ, และปรับเปลี่ยนไฟล์ได้ โดยเฉพาะอย่างยิ่งเมื่อทำการลบไฟล์คำสั่ง RemotePE จะเขียนทับข้อมูลด้วยไบต์คงที่เจ็ดครั้งก่อนการลบ ซึ่งเป็นรูปแบบต้านนิติวิทยาศาสตร์ที่เคยสังเกตเห็นในชุดเครื่องมือ Lazarus ก่อนหน้านี้เช่น PondRAT และ POOLRAT

ผลกระทบทางการเงินที่ไม่เคยเกิดขึ้นมาก่อนต่อคริปโต

ความสำเร็จในการดำเนินงานของสถาปัตยกรรมที่ไม่มีไฟล์นี้สะท้อนให้เห็นในเกณฑ์ทางการเงินที่น่าตกใจ

ตามข้อมูลการวิเคราะห์บล็อกเชนจาก TRM Labs กลุ่ม Lazarus ได้ขโมยเงินดิจิทัลประมาณ 577 ล้านดอลลาร์สหรัฐในช่วงสี่เดือนแรกของปี 2026 อย่างสำเร็จ。

ตัวเลขที่น่าทึ่งนี้คิดเป็น 76% ของการโจรกรรมคริปโตทั่วโลกที่บันทึกในช่วงเวลาดังกล่าว ซึ่งทำให้มันเกือบจะผูกขาดตลาดอาชญากรรมทางไซเบอร์。

นี่ไม่ใช่การจารกรรมของบริษัทตามมาตรฐานอีกต่อไป; แต่มันเป็นการดำเนินการด้านรายได้ที่มีการควบคุมจากรัฐออกแบบมาเพื่อต้องการสนับสนุนเศรษฐกิจที่ถูกคว่ำบาตร ตั้งแต่ปี 2017 กลุ่มอาชญากรรมนี้ได้สะสมเงินประมาณ 6 พันล้านดอลลาร์ใน

การปรับใช้ RemotePE อย่างมีกลยุทธ์แสดงให้เห็นถึงการมุ่งเน้นอย่างตั้งใจและต่อเนื่องในภาคการเงิน ซึ่งผู้กระทำผิดจะสร้างความมั่นคงอย่างลึกซึ้งก่อนที่จะดำเนินการถอนทุนที่มีมูลค่าสูงและประสานกันอย่างกว้างขวาง

อ่านเพิ่มเติม:สหรัฐฯ ลงโทษเกาหลีเหนือจากการขโมยเงินคริปโต

ข้อควรพิจารณาสำหรับการเก็บรักษาสินทรัพย์ดิจิทัล

การเปิดเผยว่ากลุ่มลาซารัสได้ใช้แคมเปญโทรจันที่ไม่มีไฟล์ในขนาดนี้จำเป็นต้องมีการปรับเปลี่ยนแนวทางด้านความปลอดภัยในระบบนิเวศฟินเทคทันที

เนื่องจาก RemotePE หลบเลี่ยงการตรวจจับที่ใช้ดิสก์ องค์กรที่ใช้การตรวจสอบซัพพลายเชน SaaS แบบมาตรฐานหรือโซลูชัน EDR แบบดั้งเดิมจึงยังคงได้รับความเสี่ยงอย่างร้ายแรง

กรอบการป้องกันจำเป็นต้องเปลี่ยนทิศทางอย่างรวดเร็วไปสู่การวิเคราะห์พฤติกรรมและนิติวิทยาศาสตร์ในหน่วยความจำ (in-memory forensics) ผู้จำหน่ายความปลอดภัยที่เชี่ยวชาญในด้านการตรวจจับภัยคุกคามระดับ RAM ตอนนี้กลายเป็นพันธมิตรที่สำคัญสำหรับผู้ดูแล crypto, การแลกเปลี่ยน และโปรโตคอล DeFi

ยิ่งไปกว่านั้น การฝึกอบรมการปลอมแปลงตัวตนของพนักงานเกี่ยวกับแพลตฟอร์มการสื่อสาร เช่น Telegram ไม่ได้เป็นเพียงมาตรการความสะอาดที่เลือกได้อีกต่อไป แต่เป็นการควบคุมความปลอดภัยที่มีความสำคัญ.

ผลกระทบทางการเงินอาจขยายไปยังตลาดประกันภัยไซเบอร์ ผู้จัดการประกันภัยอาจต้องการหลักฐานเกี่ยวกับความสามารถในการป้องกันที่ทันสมัยซึ่งอิงจากหน่วยความจำก่อนที่จะออกกรมธรรม์สำหรับผู้ดูแลทรัพย์สินดิจิทัล ซึ่งจะมีผลต่อค่าใช้จ่ายพื้นฐานในการรักษาความปลอดภัยในยุค Web3 อย่างมีนัยสำคัญ.

เพื่อเอาตัวรอดจากภัยคุกคามล่าสุดจากกลุ่มลาซารัส สถาบันการเงินต้องปรับปรุงโมเดลการคุกคามของพวกเขาในทันที ในปี 2026 การสมมุติว่าหากเครือข่ายมีความปลอดภัยเพียงเพราะดิสก์ของมันสะอาดเป็นช่องโหว่ที่บริษัทคริปโตไม่สามารถมีความเสี่ยงที่จะใช้ประโยชน์ได้

อ่านเพิ่มเติม:

คำถามที่พบบ่อย

ภัยคุกคามล่าสุดจากกลุ่ม Lazarus คืออะไร?

ข้อความล่าสุดจากกลุ่ม Lazarus คือ RemotePE ซึ่งเป็น Trojan การเข้าถึงระยะไกล (RAT) ที่ซับซ้อนสูงแบบ "มีเฉพาะในหน่วยความจำ" หรือไม่มีไฟล์ แตกต่างจากมัลแวร์ทั่วไป RemotePE จะทำงานทั้งหมดภายใน RAM ของระบบและไม่เคยเขียนข้อมูลลงในฮาร์ดดิสก์จริง ทำให้สามารถหลบเลี่ยงซอฟต์แวร์ป้องกันไวรัสมาตรฐานและระบบตรวจจับและตอบสนองจุดสิ้นสุด (EDR) ได้อย่างง่ายดาย

กลุ่ม Lazarus ใช้การโจมตีที่ไม่มีไฟล์เพื่อปรับใช้โทรจันโดยอิงจากเทคนิคที่ไม่ต้องใช้ไฟล์จริงในการติดตั้งมัลแวร์ในระบบเป้าหมาย วิธีที่กลุ่มนี้นำเสนอการโจมตีแบบไม่มีไฟล์ มักเกี่ยวข้องกับการใช้สคริปต์หรือคำสั่งที่ถูกรันในหน่วยความจำ โดยที่ไม่ทิ้งหลักฐานในดิสก์จริง ซึ่งช่วยให้กลุ่มนี้หลีกเลี่ยงการตรวจจับจากซอฟต์แวร์ป้องกันไวรัส นอกจากนี้ยังมีการใช้เทคนิคการหลอกลวงหรือการส่งฟิชชิ่งเพื่อให้เหยื่อดาวน์โหลดหรือเปิดใช้ไฟล์ที่เป็นอันตรายที่สามารถทำให้เกิดการเข้าถึงที่ไม่ได้รับอนุญาตในระบบได้

RemotePE malware เป็นมัลแวร์ประเภทหนึ่งที่ถูกออกแบบมาเพื่อเข้าควบคุมระบบคอมพิวเตอร์จากระยะไกล มันมักจะซ่อนตัวอยู่ในไฟล์ที่ดูเหมือนไม่เป็นอันตรายและเมื่อผู้ใช้ดาวน์โหลดและเปิดไฟล์นี้ มันจะติดตั้งตัวเองในระบบโดยไม่รู้ตัวของผู้ใช้ วิธีการทำงานของ RemotePE malware มีดังนี้: 1. **การดาวน์โหลด**: มัลแวร์มักถูกแพร่กระจายผ่านอีเมล ฟิชชิง หรือลิงก์ที่หลอกลวงให้ผู้ใช้คลิก 2. **การติดตั้ง**: เมื่อไฟล์ถูกเปิด มัลแวร์จะติดตั้งตัวเองในระบบ และอาจทำการแก้ไขการตั้งค่าระบบเพื่อป้องกันการตรวจจับ 3. **การควบคุมจากระยะไกล**: หลังจากติดตั้ง มัลแวร์จะเชื่อมต่อกับเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี ซึ่งทำให้ผู้โจมตีสามารถควบคุมคอมพิวเตอร์ของเหยื่อได้ 4. **การขโมยข้อมูล**: RemotePE สามารถขโมยข้อมูลสำคัญ เช่น รหัสผ่าน ข้อมูลบัตรเครดิต หรือข้อมูลส่วนตัวอื่น ๆ 5. **การขยายการแพร่กระจาย**: มัลแวร์สามารถทำการแพร่กระจายไปยังอุปกรณ์อื่นในเครือข่ายเดียวกันได้เช่นกัน การป้องกันตัวเองจาก RemotePE และมัลแวร์ประเภทอื่น ๆ แนะนำให้รักษาความปลอดภัยของระบบ อัปเดตซอฟต์แวร์อยู่เสมอ และหลีกเลี่ยงการดาวน์โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ

RemotePE เป็นโทรจันที่เข้าถึงระยะไกลแบบอาศัยหน่วยความจำ ซึ่งถูกใช้โดยแฮกเกอร์ที่สนับสนุนโดยรัฐเกาหลีเหนือ มันทำงานโดยใช้เทคนิคการหลบเลี่ยงที่ซับซ้อน เช่น การแพทช์ Event Tracing for Windows (ETW) เพื่อปิดการแจ้งเตือนด้านความปลอดภัย เมื่อมันเริ่มทำงานใน RAM มันจะให้ผู้โจมตีควบคุมเครือข่ายที่ถูกบุกรุกได้อย่างเต็มที่ ทำให้พวกเขาสามารถ执行คำสั่ง, จัดการกระบวนการที่ทำงานอยู่ และขโมยข้อมูลประจำตัวที่สำคัญได้

กลุ่ม Lazarus ขโมยสกุลเงินดิจิทัลไปได้มากเท่าไหร่ในปี 2026?

<p>ตามข้อมูลความชาญฉลาดของบล็อกเชนจาก TRM Labs กลุ่มลาซารัสได้ขโมย cryptocurrency ประมาณ 577 ล้านดอลลาร์สหรัฐในช่วงสี่เดือนแรกของปี 2026 การสูญเสียที่น่าตกใจนี้คิดเป็นประมาณ 76% ของการขโมย cryptocurrency ทั่วโลกทั้งหมดที่บันทึกในช่วงเวลานั้น ทำให้จำนวนเงินที่กลุ่มขโมยได้ตั้งแต่ปี 2017 ถึงมากกว่า 6 พันล้านดอลลาร์สหรัฐ.</p>

ทำอย่างไรให้องค์กรสามารถตรวจจับมัลแวร์แบบไม่มีไฟล์เช่น RemotePE?

เนื่องจากมัลแวร์ไร้ไฟล์ไม่ได้ทิ้งรอยเท้าดิจิทัลบนฮาร์ดไดรฟ์ของคอมพิวเตอร์ องค์กรจึงไม่สามารถพึ่งพาเครื่องมือป้องกันไวรัสแบบสแกนดิสก์แบบดั้งเดิมได้ การป้องกันการโจมตีจาก RemotePE ต้องการการใช้งานการวิเคราะห์หน่วยความจำขั้นสูง การตรวจจับความผิดปกติทางพฤติกรรม และโปรโตคอลความปลอดภัยที่เข้มงวดเกี่ยวกับการสื่อสารขององค์กรบนแอปข้อความของบุคคลที่สามเช่น Telegram

ข้อควรระวัง: ความคิดเห็นที่แสดงออกเป็นของผู้เขียนแต่เพียงผู้เดียวและไม่ได้สะท้อนความคิดเห็นของแพลตฟอร์มนี้ แพลตฟอร์มนี้และบริษัทที่เกี่ยวข้องไม่รับผิดชอบต่อความถูกต้องหรือความเหมาะสมของข้อมูลที่ให้ไว้ ข้อมูลนี้เพื่อวัตถุประสงค์ในการให้ข้อมูลเท่านั้นและไม่ถือเป็นคำแนะนำทางการเงินหรือการลงทุน