An ninh mạng

Lazarus Group tấn công các tổ chức tài chính bằng RemotePE – mã độc chạy hoàn toàn trong bộ nhớ

Nhóm tin tặc Lazarus đang sử dụng RemotePE, một loại mã độc RAT chạy hoàn toàn trong bộ nhớ, nhằm nhắm mục tiêu vào các tổ chức tài chính và tiền điện tử thông qua các chiến dịch tinh...

Nguyen Hung
28 Tháng 5, 2026 2 Min Read
4 0

Các nhà nghiên cứu an ninh mạng vừa phát hiện một loại mã độc đa nền tảng có tên RemotePE, được cho là công cụ mới nhất trong kho vũ khí của nhóm tin tặc khét tiếng Lazarus (liên quan đến Triều Tiên). Mục tiêu chính của chiến dịch này là các tổ chức trong lĩnh vực tài chính và tiền điện tử.

Table Of Content

Cơ chế tấn công đa giai đoạn

Theo phân tích từ Fox-IT (thuộc NCC Group), RemotePE là một phần của chuỗi tấn công phức tạp, sử dụng hai bộ tải (loader) chính là DPAPILoaderRemotePELoader. Quy trình lây nhiễm diễn ra như sau:

  • DPAPILoader: Sử dụng Windows Data Protection API (DPAPI) để giải mã và kích hoạt bộ tải tiếp theo từ ổ đĩa.
  • RemotePELoader: Kết nối tới server C2 để tải module cốt lõi. Trong quá trình này, mã độc thực hiện các kỹ thuật né tránh EDR như Hell’s Gate và can thiệp vào Event Tracing for Windows (ETW).
  • RemotePE: Đây là một Remote Access Trojan (RAT) được viết bằng C++, hoạt động hoàn toàn trong bộ nhớ (memory-only) mà không ghi bất kỳ tệp tin nào xuống ổ cứng, giúp giảm thiểu dấu vết pháp y (forensic footprint).

Phương thức xâm nhập và khả năng của mã độc

Chiến dịch tấn công thường bắt đầu bằng các thủ đoạn phishing hoặc kỹ thuật xã hội (social engineering). Kẻ tấn công đóng giả làm nhân viên của một công ty giao dịch trên Telegram, sau đó lừa nạn nhân đặt lịch họp thông qua các tên miền giả mạo như Calendly hoặc Picktime để cài đặt mã độc.

Sau khi xâm nhập thành công, RemotePE cho phép kẻ tấn công thực hiện nhiều hành vi độc hại như quản lý cấu hình C2, thao tác tệp tin, kiểm soát tiến trình hệ thống và thực thi các lệnh từ xa. Đặc biệt, mã độc có cơ chế xóa tệp tin bằng cách ghi đè dữ liệu nhiều lần trước khi xóa, tương tự như các dòng mã độc PondRATPOOLRAT trước đây.

Nhận định từ chuyên gia

Các nhà nghiên cứu cho biết RemotePE đã được phát triển từ giữa năm 2023. Với khả năng né tránh EDR, dấu vết pháp y thấp và cơ chế thực thi trong bộ nhớ, đây là công cụ được thiết kế riêng cho các chiến dịch gián điệp dài hạn. Việc mã độc này không xuất hiện trên các nền tảng như VirusTotal cho thấy nhóm Lazarus đang dành riêng RemotePE cho các mục tiêu có giá trị cao, nhằm duy trì quyền truy cập âm thầm trước khi thực hiện các vụ đánh cắp dữ liệu hoặc tấn công tài chính quy mô lớn.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept