Lazarus triển khai mã độc không có tài liệu RemotePE, tấn công ngành crypto và ngân hàng

Theo Cryptopolitan ngày 26 tháng 5, các nhà phân tích an ninh mạng phát hiện một Trojan truy cập từ xa (RAT) mới có tên RemotePE, không sử dụng tệp (undocumented) và có liên quan đến nhóm Lazarus Group của Bắc Hàn. Nhóm Lazarus Group đang tận dụng RemotePE để tấn công các ngân hàng và công ty tiền mã hóa. RemotePE chạy hoàn toàn trong bộ nhớ, không hề đụng đến hệ thống tệp, khiến phần mềm diệt virus và các công cụ thu thập hiện trường/forensics truyền thống cực kỳ khó phát hiện.

Chuỗi tấn công ba giai đoạn của RemotePE: Cơ chế xác nhận không chạm vào hệ thống tệp

RemotePE thực thi qua ba giai đoạn liên kết, toàn bộ quá trình không đụng đến hệ thống tệp:

Giai đoạn 1 - DPAPILoader: Thư viện liên kết động (DLL, từ tháng 11/2023 tên tệp cũng là Iassvc.dll), sử dụng Windows DPAPI để giải mã payload trên đĩa

Giai đoạn 2 - RemotePELoader: Thiết lập kết nối HTTP với máy chủ C2 của aes-secure[.]net; sử dụng kỹ thuật Cổng địa ngục (Hell's Gate) và bản vá ETW để vượt qua giải pháp EDR

Giai đoạn 3 - RemotePE: Payload chính tải về và thực thi trong bộ nhớ, không bao giờ đụng tới hệ thống tệp

Một công ty DeFi xác nhận bị tấn công liên tiếp bởi ba loại RAT: RemotePE, PondRAT và ThemeForestRAT.

Thủ pháp lừa đảo xã hội: Ngụy trang thành nhân viên công ty giao dịch

Kẻ tấn công giả mạo nhân viên công ty giao dịch qua Telegram, dùng các lịch hẹn giả mạo Calendly và Picktime để lên lịch các cuộc họp phục vụ tấn công lừa đảo xã hội; sau khi nhận được sự phê duyệt từ cuộc họp, kẻ tấn công khởi động chuỗi cài đặt phần mềm độc hại ba giai đoạn. Fox-IT cho biết, cách tiếp cận kiểu “can thiệp của con người” này giúp kẻ tấn công thiết kế “mồi” hiệu quả nhắm tới từng mục tiêu cụ thể.

Thống kê trộm cắp của Lazarus Group năm 2026: TRM Labs xác nhận dữ liệu

TRM Labs xác nhận, trong bốn tháng đầu năm 2026, Lazarus Group chỉ thông qua hai sự kiện lớn đã đánh cắp khoảng 577 triệu USD tài sản mã hóa, chiếm 76% tổng số vụ trộm cắp tiền mã hóa trên toàn cầu trong năm 2026. Tỷ lệ các cuộc tấn công của tin tặc liên quan đến Bắc Hàn từ các năm trước đó ở mức một chữ số đã tăng lên 64% vào năm 2025 và 76% vào năm 2026; kể từ năm 2017, tổng số tiền bị trộm được khoảng 6 tỷ USD, theo cáo buộc các khoản tiền này được dùng cho việc phát triển vũ khí và chương trình vũ khí hạt nhân của Bắc Hàn trong bối cảnh bị trừng phạt.

Câu hỏi thường gặp

Sự khác biệt cốt lõi giữa RemotePE và RAT thông thường là gì?

Đặc tính cốt lõi của RemotePE là thực thi hoàn toàn trong bộ nhớ (không ghi tệp ra đĩa); cả ba giai đoạn thực thi đều không chạm tới hệ thống tệp, khiến các phần mềm diệt virus và công cụ thu thập hiện trường truyền thống dựa trên quét tệp khó phát hiện. Các nhà phân tích của Fox-IT cho biết thiết kế này nhằm đạt mục tiêu ẩn nấp lâu dài để do thám, thay vì phá hoại trong thời gian ngắn.

Giai đoạn 2 RemotePELoader đã vượt qua giải pháp EDR như thế nào?

RemotePELoader sử dụng kỹ thuật Cổng địa ngục (Hell's Gate) và bản vá ETW để vượt qua giải pháp phát hiện và phản hồi tại điểm cuối (EDR). Những kỹ thuật này sửa đổi cơ chế theo dõi sự kiện của hệ thống và gọi trực tiếp các lệnh hệ thống, tránh cơ chế giám sát hook API của EDR.

Làm sao để theo dõi số tiền mà Lazarus Group đánh cắp?

TRM Labs là công ty phân tích blockchain chủ chốt theo dõi hoạt động của Lazarus Group trên chuỗi, đã xác nhận thống kê đánh cắp khoảng 577 triệu USD trong bốn tháng đầu năm 2026 và kỷ lục tích lũy khoảng 6 tỷ USD kể từ năm 2017. Phương pháp theo dõi cụ thể sẽ dựa trên báo cáo gốc của TRM Labs.