北韓駭客Lazarus鎖定金融與加密貨幣機構，散布惡意軟體RemotePE

資安公司Fox IT指出，Lazarus從原本使用惡意程式ThemeForestRAT和PondRAT，更換為僅在記憶體運作的工具組，涵蓋3種惡意程式DPAPILoader、RemotePELoader，以及RemotePE。具體來說，這些工具可形成一系列攻擊鏈，Lazarus通常會濫用Windows服務，或是透過側載方式啟動DPAPILoader，該惡意程式再濫用作業系統內建的Windows Data Protection API（DPAPI），解密並載入另一支惡意程式RemotePELoader。由於DPAPI將金鑰與特定使用者帳號綁定，金鑰管理由作業系統負責，即使防守方將惡意酬載上傳至VirusTotal，也會因為缺乏對應的金鑰而難以分析。

接著，RemotePELoader的主要工作，是從C2伺服器擷取惡意程式RemotePE的核心模組，並載入記憶體。不過，它在執行上述工作之前，會採用兩種型態的迴避偵測技術，其中一種是HellsGate，是源自於TartarusGate的變形手法，會動態解析執行環境以掌握Windows系統呼叫編號。藉由直接系統呼叫，RemotePELoader會迭代Process Environment Block的模組清單，然後重新映射所有的DLL檔，並置換在記憶體中被掛鉤的DLL複本，同時解除端點防護系統的掛鉤。另一種是「填補」Windows事件記錄追蹤功能（ETW），以特定位元組覆寫當中使用的EtwEventWrite() 函式，使得ETW的事件記錄不會產生，連帶影響仰賴ETW的資安工具讀取受害電腦的事件記錄內容。

RemotePE是具備完整遠端存取木馬（RAT）功能的惡意程式，採用C++語言與物件導向的程式設計風格進行撰寫，執行時會啟動兩個執行緒，其中一個建立C2通訊，另一個處理來自C2伺服器的指令。此RAT支援6種類型的指令，其中較特別的是刪除檔案的部分，該惡意程式會先以特定的資料覆寫檔案7次，然後再更改檔名並予以刪除。RemotePE也實作外掛功能，操作員可動態註冊其他DLL有效酬載，以載入外掛程式。