tradingkey.logo

tradingkey.logo
怜玢


北朝鮮のラザルスが新たな暗号攻撃でファむルレスマルりェアに手を染める

CryptopolitanMay 25, 2026 3:00 PM
facebooktwitterlinkedin
すべおのコメントを芋る0


サむバヌセキュリティアナリストは、RemotePEずいう名の新たなファむルレス型リモヌトアクセス型トロむの朚銬RATを発芋した。これは、北朝鮮ず関連があるずされるサむバヌ犯眪グルヌプ、ラザルスグルヌプによっお、銀行や仮想通貚関連䌁業を暙的にするために䜿甚されおいる。.

最近の分析によるず、このマルりェアは完党にメモリ䞊で動䜜するため、感染したコンピュヌタシステムに痕跡を残すこずはほが䞍可胜である。.

ラザルス・グルヌプは投資家を隙すために゜ヌシャル゚ンゞニアリングを利甚しおいる

ラザルス ・グルヌプは 、゜ヌシャル゚ンゞニアリングの手法を甚いおハッキングを開始する。圌らはTelegramを通じお、トレヌディング䌚瀟の埓業員になりすたす。そのために、圌らは䌚議のスケゞュヌル調敎に広く䜿われおいるCalendlyずPicktimeの停アカりントを䜿甚する。

䌚議の承認を埗た埌、䞀連のプロセスが進み、最初のマルりェアがむンストヌルされる。この「人間が関䞎する」手法により、ラザルス攻撃者は効果的な誘い文句を開発するこずができる。.

このマルりェアは、ディスク操䜜を枛らすこずを目的ずした、綿密に調敎された3段階のチェヌンを通じお動䜜したす。最初の段階はDPAPILoaderです。これはダむナミックリンクラむブラリDLLであり、2023幎11月以降はIassvc.dllずいうファむル名でも知られおいたす。.

このプログラムは、Windowsデヌタ保護アプリケヌションプログラミングむンタヌフェむスDPAPIを䜿甚しお、ディスクに保存されおいるペむロヌドを埩号化したす。.

埩号化されたペむロヌドはRemotePELoaderに枡され、RemotePELoaderはaes-secure[.]netにあるC2サヌバヌぞのHTTP接続を確立したす。その埌、RemotePEの最終ステヌゞをメモリ䞊にダりンロヌドしお実行したす。.

EDR 察策を回避するために、 ヘルズゲヌト技術ずETWパッチングを䜿甚しお怜出を回避したす。

北朝鮮のラザルスグルヌプが、仮想通貚ず銀行を暙的ずしたファむルレス型トロむの朚銬「RemotePE」を展開。.
ラザルス・グルヌプが静かな暗号通貚暗殺者ぞず倉貌。出兞 X。

最埌に、RemotePE RATのメむンペむロヌドはファむルシステムに䞀切接觊しないため、攻撃チェヌン党䜓を通しおフォレンゞック調査における可芖性は䜎いたた維持されたす。このマルりェアは2025幎9月に初めお発芋されたした。.

報告されたdentでは、分散型金融DeFi䌁業のむンフラが、RemotePE、PondRAT、ThemeForestRATずいう3皮類の異なるRATによっお䟵害され、これらのRATは最終的に互いに取っお代わりたした。.

先進技術ずAIがトレヌダヌにずっお最悪の悪倢に倉わる

以前は、仮想通貚投資家は取匕を効率化するためにAIやテクノロゞヌを掻甚しおいた。しかし今、同じツヌルがハッカヌの手に枡り、投資家は甚倧な経枈的損倱を被っおいる。.

DPAPIによる環境キヌむング、メモリのみの実行、ETWパッチ、そしおヘルズゲヌトずいった機胜により、RemotePEは埓来の方法ではほが怜出䞍可胜ずなっおいたす。NCCグルヌプの関連䌚瀟である Fox-ITは、これらの特城から、このマルりェアは兞型的な砎壊的マルりェア攻撃ずは異なり、攻撃を開始する前に偵察掻動を行うために長期的に自己維持するように蚭蚈されおいるず指摘しおいたす。

ラザルス・グルヌプは2026幎の最初の4ヶ月間で既に玄5億7700䞇ドル盞圓の仮想通貚を盗み出しおいる。これは、 䞖界党䜓の仮想通貚盗難額の76%わずか2件の倧芏暡なハッキング事件にもかかわらずdentによるず、 TRM Labs

北朝鮮による暗号資産ハッキングの割合が急激に䞊昇しおいる。過去数幎間は䞀桁台だったものが、2025幎には64%、2026幎には76%に達するず予枬されおいる。2017幎以降、北朝鮮が盗んだ金額は過去最高額の60億ドルに達しおいる。これらの資金は、制裁措眮が続く䞭で、北朝鮮の兵噚開発および栞開発蚈画の資金源ずなっおいるずされおいる。.

ハッカヌがAIを利甚しお倧手テクノロゞヌ䌁業の開発者を䞍安定化させようずしおいる

サむバヌセキュリティ専門家は、Ghostコンテンツ管理システムGhost Content Management Systemを䜿甚しおいる700以䞊のサむトを暙的ずした倧芏暡なサむバヌ攻撃を発芋した。この攻撃では、重倧なSQLむンゞェクションの脆匱性が悪甚された。攻撃者は管理者アカりントのナヌザヌ名ずパスワヌドを入手し、JavaScriptリダむレクトを介しおClickFix配信チャネルにマルりェアを泚入するこずができた。.

察象ずなるプラットフォヌムには、孊術機関、AI関連䌁業、 ブロックチェヌン サヌビス、SaaSサヌビスずしおの゜フトりェアベンダヌ、サむバヌセキュリティ研究機関、報道機関、フィンテック䌁業などが含たれる。

停のCAPTCHAに遭遇した被害者は、実行ダむアログボックスにBase64゚ンコヌドされた文字列を入力するよう求められたす。この手順で、バッチスクリプトを含むZIPファむルがダりンロヌドされたす。このバッチスクリプトはPowerShellコマンドを実行し、リモヌトサヌバヌから眲名付きDLLファむルたたはJavaScriptファむルを取埗したす。.

以前のバヌゞョンのマルりェアは、rundll32.exeを䜿甚しおDLLを実行しおいたした。しかし、最近のバヌゞョンでは、Grapeず呌ばれるオヌプン゜ヌス版のtron アプリケヌションのInno Setupむンストヌラヌがむンストヌルされたす。むンストヌル埌、マルりェアは氞続化し、30秒ごずにC2ドメむンのweb-telegram[.]ugをポヌリングしたす。.

最も賢い暗号通貚マむンドを持぀人々はすでに私たちのニュヌスレタヌを読んでいたす。参加しおみたせんかぜひ ご参加ください。

免責事項本サむトで提䟛する情報は教育・情報提䟛を目的ずしたものであり、金融・投資アドバむスずしお解釈されるべきではありたせん。

コメント (0)

$ボタンをクリックし、シンボルを入力しお、株匏、ETF、たたはその他のティッカヌシンボルをリンクしたす。

0/500
コメントガむドラむン
読み蟌み䞭...

おすすめ蚘事