网络安全分析师发现新型无文件远程访问木马
网络安全分析师近日发现一种名为RemotePE的新型无文件远程访问木马。该恶意软件正被疑似与朝鲜有关的网络犯罪组织"拉撒路集团"用于攻击银行与加密货币企业。最新分析报告指出,此恶意软件完全在内存中运行,几乎不会在受感染计算机系统中留下任何痕迹。
拉撒路集团利用社交工程欺诈投资者
该黑客组织通常以社交工程技术作为攻击起点,通过即时通讯软件冒充交易公司员工。攻击者会使用伪造的会议预约工具页面获取目标信任。在成功预约会议后,攻击链条逐步展开,最终在目标系统植入首个恶意程序。这种"人工介入"模式使攻击者能够定制更具迷惑性的诱饵。
该恶意软件通过精心设计的三阶段链条运行,最大限度减少磁盘操作。第一阶段DPAPILoader是一个动态链接库文件,它利用Windows数据保护应用程序接口解密存储在磁盘中的载荷。解密后的载荷随后传递给RemotePELoader,该模块会与远程服务器建立HTTP连接,最终在内存中下载并执行最终的RemotePE模块。
为规避终端检测系统的监测,RemotePELoader采用了多种反检测技术。最终阶段的主要载荷始终不接触文件系统,使得整个攻击链条在取证分析中保持极低的可视性。该恶意软件最早于2025年9月被发现。
据披露的安全事件显示,某去中心化金融公司的基础设施曾接连遭受三种不同远程访问木马的侵袭,这些恶意软件在系统中形成了迭代替代关系。
前沿技术成为交易者的新型威胁
加密投资者原本借助人工智能和技术优化交易流程,如今这些工具却被黑客利用,造成重大财务损失。该恶意软件通过多重技术手段使得传统检测方法几乎失效。专业分析师指出,这些特征表明该恶意软件旨在进行长期潜伏侦察,与传统破坏性恶意攻击形成鲜明对比。
据统计数据显示,拉撒路集团在2026年前四个月已窃取价值约5.77亿美元的加密货币,占全球加密货币盗窃总额的76%。朝鲜相关黑客攻击占比近年来急剧上升,自2017年以来累计盗窃金额已达60亿美元。据信这些资金被用于资助该国的武器及核开发项目。
黑客利用人工智能攻击科技企业
网络安全专家还发现大规模攻击活动,黑客针对七百余个运行特定内容管理系统的网站,利用关键漏洞获取管理员账户凭证,通过脚本重定向机制在软件分发渠道中植入恶意程序。
受影响平台涵盖学术机构、人工智能项目、区块链服务、软件供应商、网络安全研究机构、新闻媒体及金融科技企业等多类组织。遭遇虚假验证机制的受害者会被诱导执行特定指令,最终从远程服务器下载包含恶意脚本的压缩文件。
早期版本的恶意软件通过系统程序加载动态链接库,而最新变种则会安装开源应用程序的安装包。植入系统后,恶意软件将建立持久化机制,定时与远程控制服务器进行通信。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注