摘要:新型无文件恶意软件RemotePE被发现针对银行与加密货币机构,其依托内存运行与社交工程手段,形成隐蔽性强的三阶段攻击链。全球已有超60亿美元加密资产遭窃,人工智能滥用与漏洞利用加剧威胁。
币圈界报道:
朝鲜关联黑客组织启用新型内存型恶意软件攻击金融系统
网络安全研究团队确认,与朝鲜有关联的拉撒路组织已部署一种名为“RemotePE”的新型无文件远程访问工具。该工具专用于渗透金融机构及加密资产相关企业,自2025年9月起活跃于多国网络环境。其核心特征为完全在内存中执行,几乎不留下持久化痕迹,导致传统基于文件扫描的安全机制难以识别。
攻击者借信任构建实施精准社会工程
该组织惯用手法始于伪装成投资顾问或项目对接人员,在即时通讯平台发起虚假合作邀约,并通过日程管理工具发送伪造会议链接。初期互动建立初步信任后,逐步引导目标完成权限授权流程,为后续恶意载荷植入创造条件。这种以人为突破口的策略极大提升了攻击成功率。
分层式攻击链实现隐蔽渗透
攻击过程分为三个递进阶段:首先由名为DPAPILoader的动态链接库启动,利用Windows DPAPI接口解密存储于本地磁盘的第二阶段代码;随后,RemotePELoader通过HTTP协议从远程控制服务器下载下一阶段载荷并直接注入内存;最终主控程序在无文件状态下运行,全程规避文件系统交互,有效绕过常规检测机制。
多重远程访问工具协同入侵关键基础设施
近期调查揭示,某去中心化金融平台因连续遭受三种不同远程访问工具攻击而沦陷,分别为RemotePE、PondRAT与ThemeForestRAT。这些工具各司其职,形成闭环攻击链条,显著增强持续性与破坏力。
高隐蔽性技术特性令防御体系失效
分析指出,RemotePE采用DPAPI进行密钥管理,所有操作均在内存中完成,并集成多种高级逃避技术,使其对主流反病毒产品具备高度免疫能力。此类设计使攻击行为极难被日志记录或行为分析捕捉。
AI滥用与漏洞利用推升数字资产风险
随着人工智能广泛应用于交易与开发流程,攻击者亦开始借助智能算法实施自动化攻击。一项涉及700余个网站的大规模数据泄露事件暴露出严重SQL注入缺陷,致使管理员账户凭证外泄。攻击者借此传播恶意软件,影响范围涵盖高校、区块链服务商、金融科技初创公司及人工智能研发机构。
受害者常因执行带有编码指令的验证码提示而意外下载恶意文件。早期版本依赖系统内置工具部署,近期则转向使用开源应用作为跳板进行横向移动。一旦植入成功,恶意程序将定期连接命令控制服务器获取更新指令,维持长期潜伏状态。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。