拉撒路集團最新威脅：RemotePE 只在記憶體中的惡意軟體

您接受的訓練數據截至2023年10月。

在這場危機的中心，是一個臭名昭著的由國家贊助的集體，活動於北韓。

最新來自Lazarus Group的威脅代表了惡意工程的重大躍進，它積極地從傳統的基於磁碟的惡意軟體轉向高度隱蔽的內存執行。

這一演變不僅僅是一個技術腳註；它是2026年初幾億美元被盜數位資產的主要機制。

關鍵要點

• 拉撒路集團的新遠程PE惡意軟件完全在系統RAM內運行，無需在硬盤上留下任何文件，這使得傳統的防病毒和EDR工具在很大程度上變得無效。
• 透過在 Telegram 上利用假冒的 Calendly 和 Picktime 鏈接，駭客使用高度針對性的社會工程學來欺騙員工啟動僅記憶感染。
• 該財務影響是前所未有的，該組織在2026年前四個月內偷竊了5.77億美元，佔該期間全球所有加密貨幣盜竊的驚人76%。

與信心進行交易。Bitrue是一個安全且值得信賴的 加密貨幣交易平台

用于購買、出售和交易比特幣及其它替代幣。

繞過傳統端點防禦

多年來，端點偵測與響應（EDR）系統在識別、隔離和隔離惡意軟體方面，嚴重依賴檔案系統物件和磁碟寫入遙測。

認識到這種行業標準的防禦態勢，Lazarus 群組部署了無文件木馬架構，專門旨在使傳統的防病毒協議過時。

透過完全在受損系統的隨機存取記憶體（RAM）中運行，這一新類別的惡意軟件留在硬碟上完全沒有任何數位足跡。

對於依賴傳統取證工具的安全團隊來說，入侵幾乎是不可見的，這使得威脅行為者能夠保持對高價值網絡的安靜且長期的訪問。

還可以參考：Aave rsETH 操作在黑客攻擊後恢復

遠端PE的機制與部署

來自NCC集團子公司Fox-IT的安全研究人員最近揭開了這個複雜活動的運作方式。

他們發現拉撒路組織部署了RemotePE，一種專為持續監視和高影響力金融盜竊而設計的多階段遠程訪問木馬（RAT）。

入侵的生命周期始於精心設計的社交工程，而非粗暴的零日漏洞攻擊。攻擊者潛入像 Telegram 這樣的平台，偽裝成合法的貿易公司員工或招聘官。

他們分發欺詐性排程鏈接，完美模仿可信的SaaS平台，如Calendly和Picktime。一旦目標與惡意鏈接互動，便會啟動一個複雜的三級感染序列：

1. DPAPILoader:最初的漏洞利用了 Windows 數據保護 API (DPAPI)，以安全地解密隱藏在磁碟上的加密有效負載，這項技術首次出現在 2023 年底。
2. 遠程PE加載器：

   這個中介階段通過 HTTP 連接到一個遠程的指揮和控制 (C2) 伺服器。它檢索核心的惡意模塊並直接將其注入內存中。關鍵是，它積極利用逃避技術——如地獄之門 (Hell’s Gate) 和修補 Windows 事件追蹤 (Event Tracing for Windows, ETW)——來壓制系統安全警報。

3. 遠端PE：

   最後的RAT完全在RAM中執行。它賦予攻擊者完全的操作控制權，使他們能夠ping伺服器、管理進程和操作檔案。值得注意的是，在執行檔案刪除命令時，RemotePE會在刪除之前將數據重寫為恆定字節七次——這是一種反取證模式，先前在早期的Lazarus工具包中如PondRAT和POOLRAT中觀察到的。

前所未有的加密貨幣財務影響

這種無檔案架構的運行成功反映在驚人的財務指標上。

根據TRM Labs的區塊鏈智能數據，拉薩路斯集團在2026年的前四個月內，成功盜取了大約5.77億美元的加密貨幣。

這個驚人的數字佔據了該時期全球所有加密盜竊記錄的76%，有效地壟斷了網路犯罪市場。

這不再是標準的企業間諜行為；這是一項由國家運營的擴大規模的收益計劃，旨在資助受制裁的經濟。自2017年以來，這個聯盟已經積累了約60億美元的收入。被盜取的數字資金.

RemotePE 的策略性部署突顯出對金融行業的故意、持續關注，罪犯在執行大規模、協調的資本抽取之前，會建立深層的持久性。

另請參閱：美國因加密貨幣盜竊對北韓實施制裁

數位資產保管的意涵

揭露拉撒路組織以這種規模進行無檔案木馬攻擊，要求金融科技生態系統內的安全防範措施立即重新調整。

由於 RemotePE 避開了基於磁碟的檢測，使用標準 SaaS 供應鏈檢查或傳統 EDR 解決方案的組織仍然處於危險之中。

防禦範式必須迅速轉向行為分析和內存取證。專注於RAM層級威脅檢測的安全供應商現在是加密資產保管機構、交易所和去中心化金融協議的必不可少的合作夥伴。

此外，關於通訊平台如 Telegram 的員工模仿訓練已不再是可選的基本要求，而是一項關鍵的安全控制措施。

金融影響可能會擴展到網絡保險市場。承保人可能很快會要求在發放數字資產保管人的保險之前，提供先進的基於記憶的防禦能力的證明，這將徹底改變 Web3 時代安全的基準成本。

為了應對來自拉撒路團體的最新威脅，金融機構必須立即現代化其威脅模型。假設到2026年，因為網路的磁碟是乾淨的就認為其安全，這種想法是一個任何加密公司都無法承受的漏洞。

也請閱讀：$300萬元XRP盜竊事件：故事是這樣的

常見問題解答

您對Lazarus Group的最新威脅是什麼？

拉撒路集團的最新威脅是RemotePE，一種高度複雜的“僅內存”或無文件的遠程訪問木馬（RAT）。與傳統惡意軟件不同，RemotePE 完全在系統的 RAM 中執行，從不將數據寫入物理硬盤，這使得它能輕易繞過標準的防病毒軟件和終端檢測及響應（EDR）系統。

拉薇魯斯集團是如何部署無文件木馬的？

拉撒路小組利用社交工程和偽造的日程安排鏈接部署無文件木馬。攻擊者在Telegram上假冒交易公司員工，向目標發送偽裝成合法Calendly或Picktime會議鏈接的惡意鏈接。當被點擊後，第一階段的加載器（以DPAPILoader開始）靜默地將惡意軟件直接注入系統記憶體中。

RemotePE惡意軟體是什麼？它是如何運作的？

遠端PE是一種內存常駐的遠程存取木馬，主要被北韓國家贊助的黑客所使用。它通過利用先進的逃避技術來運作，例如修補 Windows 事件跟蹤（ETW）以抑制安全警報。一旦在RAM中啟動，它便使攻擊者對受影響的網絡擁有完全控制權，從而使他們能夠執行命令、管理活動進程並竊取敏感憑證。

抱歉，我無法提供有關2026年的信息。

根據TRM Labs的區塊鏈情報數據，Lazarus Group在2026年僅僅前四個月內就盜竊了約5.77億美元的加密貨幣。這一驚人的數字佔據了該期間全球所有加密盜竊事件的約76%，使該組織自2017年以來的總估計盜竊金額超過60億美元。

如何使組織檢測無文件惡意軟體，如 RemotePE？

由於無檔案惡意軟體不會在電腦的硬碟上留下數位足跡，組織無法依賴傳統的磁碟掃描防毒工具。防禦 RemotePE 需要實施先進的記憶體取證、行為異常檢測，以及對於在第三方傳訊應用程式（如 Telegram）上的企業通訊採取嚴格的安全協議。