287/69 (IT) ประจำวันพุธที่ 27 พฤษภาคม 2569
มีรายงานว่ากลุ่ม Lazarus APT ได้พัฒนาและใช้งานมัลแวร์ประเภท Remote Access Trojan หรือ RAT รูปแบบใหม่ที่ทำงานเฉพาะในหน่วยความจำของเครื่องเป้าหมาย ทำให้แทบไม่ทิ้งร่องรอยบนดิสก์และตรวจสอบย้อนหลังได้ยาก โดยนักวิจัยจาก Fox-IT บริษัทในเครือ NCC Group ระบุว่า เครื่องมือดังกล่าวถูกเรียกว่า RemotePE และพบระหว่างการตอบสนองเหตุการณ์ในองค์กรด้าน Decentralized Finance แห่งหนึ่ง ทั้งนี้ กลุ่มย่อยของ Lazarus ที่เกี่ยวข้องกับปฏิบัติการนี้มีความเชื่อมโยงกับกิจกรรมที่เคยถูกติดตามในชื่อ AppleJeus, Citrine Sleet, UNC4736 และ Gleaming Pisces
จากการวิเคราะห์พบว่า ผู้โจมตีใช้เทคนิค Social Engineering ผ่าน Telegram โดยแอบอ้างเป็นพนักงานของบริษัทซื้อขายสินทรัพย์ที่น่าเชื่อถือ และนัดหมายประชุมปลอมผ่านโดเมนที่เลียนแบบบริการ Calendly และ Picktime เพื่อหลอกให้เหยื่อเปิดทางเข้าถึงอุปกรณ์ หลังจากนั้นมัลแวร์จะทำงานผ่านเครื่องมือ 3 ขั้นตอน ได้แก่ DPAPILoader, RemotePELoader และ RemotePE โดย DPAPILoader ใช้ Windows Data Protection API หรือ DPAPI เพื่อถอดรหัสและเรียกใช้งานองค์ประกอบถัดไป ส่วน RemotePELoader จะติดต่อไปยังเซิร์ฟเวอร์ Command and Control และรอรับ Payload ขั้นสุดท้าย ก็คือ RemotePE ที่จะถูกเรียกใช้งานในหน่วยความจำโดยไม่ถูกเขียนลงดิสก์ ส่งผลให้การตรวจพบด้วยหลักฐานจากไฟล์ระบบทำได้ยากมาก
RemotePE เป็น RAT ที่พัฒนาด้วยภาษา C++ และมีความสามารถหลายด้าน เช่น การจัดการไฟล์ การควบคุม Process การโหลด Plugin และการลบไฟล์อย่างปลอดภัย โดยนักวิจัยพบตัวอย่างมัลแวร์หลายเวอร์ชันที่แสดงให้เห็นว่ามีการพัฒนาอย่างต่อเนื่องระหว่างเดือนกรกฎาคม 2023 ถึงพฤษภาคม 2024 นอกจากนี้ RemotePELoader ยังถูกออกแบบให้หลบเลี่ยงเครื่องมือรักษาความปลอดภัย โดยพยายามลบ Security Hook ของผลิตภัณฑ์ Endpoint Protection และปิดการติดตามเหตุการณ์ของ Windows ก่อนเชื่อมต่อกับเซิร์ฟเวอร์ควบคุม ทั้งนี้ Fox-IT ระบุว่าชุดเครื่องมือดังกล่าวถูกออกแบบมาเพื่อลดร่องรอยทางนิติวิทยาศาสตร์ รองรับการเข้าถึงระยะยาว และอาจถูกใช้เพื่อเฝ้าสังเกตเป้าหมายก่อนนำไปสู่การขโมยข้อมูลหรือการโจมตีทางการเงินขนาดใหญ่ พร้อมเผยแพร่ YARA Rules และ Indicators of Compromise เพื่อสนับสนุนการตรวจจับและการรับมือของผู้ดูแลระบบ