สรุปสั้น
กลุ่มแฮ็กเกอร์ Lazarus ของเกาหลีเหนือถูกพบว่าใช้มัลแวร์ชุดใหม่ชื่อ RemotePE ซึ่งมีจุดเด่นที่น่ากังวลคือรันทั้งหมดใน Memory โดยไม่มีไฟล์ถูกบันทึกลงดิสก์แม้แต่ไบต์เดียว ทำให้เครื่องมือ Forensic แบบดั้งเดิมตรวจจับไม่พบ นักวิจัยจาก Fox-IT ซึ่งเป็นบริษัทในเครือ NCC Group ระบุว่า RemotePE ทำงานผ่าน Loader chain สองชั้น ได้แก่ DPAPILoader และ RemotePELoader ก่อนที่ RAT เต็มรูปแบบจะถูกดาวน์โหลดจาก C2 server และรันในหน่วยความจำโดยตรง มัลแวร์นี้ยังใช้เทคนิค Hell’s Gate และ Patch ETW เพื่อหลีกเลี่ยงการตรวจจับของ EDR ที่น่าสังเกตคือ RemotePE ไม่เคยปรากฏใน VirusTotal ก่อนการเปิดเผยครั้งนี้ แสดงว่าถูกสงวนไว้สำหรับปฏิบัติการต่อเป้าหมายมูลค่าสูงเท่านั้น
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 25 พฤษภาคม 2569 อ้างการวิจัยของ Fox-IT ว่า กลุ่ม Lazarus ที่เชื่อมโยงกับรัฐบาลเกาหลีเหนือได้ใช้มัลแวร์ชุดใหม่ที่ประกอบด้วยสามส่วนหลัก คือ DPAPILoader, RemotePELoader และ RemotePE ในการโจมตีองค์กรด้านการเงินและ cryptocurrency โดยเฉพาะในภาคส่วน Decentralized Finance (DeFi) การโจมตีเริ่มต้นจากการ social engineering ผ่าน Telegram โดยผู้โจมตีแอบอ้างเป็นพนักงานของบริษัท trading และนัดหมายผ่านโดเมน Calendly และ Picktime ปลอม หลังจากเครื่องของเหยื่อถูก compromise แล้ว DPAPILoader ซึ่งมีชื่อไฟล์ว่า Iassvc.dll จะถอดรหัส RemotePELoader จากดิสก์โดยใช้ Windows Data Protection API (DPAPI) จากนั้น RemotePELoader จะติดต่อ C2 server ที่ aes-secure[.]net ผ่าน HTTP เพื่อดาวน์โหลด RemotePE มาทำงานในหน่วยความจำโดยตรง
รายละเอียดวิธีการโจมตีและมัลแวร์
เครื่องมือชุดนี้ทำงานเป็นสามชั้นเชื่อมต่อกันเป็น chain ชั้นแรกคือ DPAPILoader เป็น DLL ที่ในกรณีจริงถูกติดตั้งเป็นไฟล์ C:\Windows\System32\Iassvc.dll ภายใต้ชื่อ service “Internet Authentication Service” (Ias) เพื่อปลอมตัวเป็น service จริงของ Windows Server (ไฟล์จริงชื่อ iassvcs.dll มีตัว s เกินมา) และรันอัตโนมัติผ่าน svchost.exe ตอนบูตเครื่องเพื่อสร้าง persistence โดย DPAPILoader จะวนหาไฟล์ในพาธ C:\ProgramData\Microsoft\Windows\DeviceMetadataStore\en-US*.* ข้ามไฟล์ที่ขึ้นต้นด้วย magic bytes ของ Cabinet (MSCF) แล้วนำไฟล์ที่ผ่านเงื่อนไขไปถอดรหัสด้วย DPAPI จากนั้น XOR ด้วยค่า 0x8D ก่อนโหลดเข้า memory ด้วยไลบรารี libpeconv การใช้ DPAPI คือการทำ environmental keying ที่ผูก payload เข้ากับบัญชีผู้ใช้ของเครื่องเหยื่อโดยเฉพาะ ทำให้ไฟล์ที่ถูกอัปโหลดขึ้น VirusTotal ไม่สามารถถอดรหัสหรือวิเคราะห์ได้เลยหากไม่มีคีย์ DPAPI ของเหยื่อ และ hash ของแต่ละเครื่องยังต่างกันจนหลบ signature ได้ Fox-IT พบตัวอย่าง DPAPILoader สามชิ้นในรูปแบบ DLL ต่างกัน ทั้งที่โหลดผ่าน service, sideload ผ่าน edp.exe ของ ESET และแบบฝัง payload ไว้ในตัว DLL เอง
เมื่อถูกถอดรหัสแล้วจะได้ RemotePELoader ซึ่งก่อนทำงานใด ๆ จะใช้เทคนิคหลบเลี่ยงสองอย่าง อย่างแรกคือ HellsGate (ตัวแปร TartarusGate) ที่อ่านหมายเลข syscall จาก ntdll.dll โดยตรงแล้ว remap DLL ระบบจาก \KnownDlls เพื่อล้าง hook ของผลิตภัณฑ์ความปลอดภัยในระดับ userland ออก อย่างที่สองคือการ patch ฟังก์ชัน EtwEventWrite() ให้ return 0 ทันที (เขียนทับด้วย 48 33 C0 C3 คือ XOR RAX,RAX / RET) เพื่อปิดการส่ง telemetry ผ่าน ETW จากนั้น RemotePELoader จะติดต่อ C2 ผ่าน HTTP POST โดยพรางข้อมูลไว้ใน HTTP Cookie ที่เลียนแบบ traffic ของ Microsoft (เช่น MicrosoftApplicationsTelemetryDeviceId, ai_session, armAuthorization, odata.metadata) และรอจนกว่า operator จะส่ง RemotePE payload ที่เข้ารหัส AES-GCM กลับมา ก่อนโหลดเข้า memory โดยไม่แตะดิสก์
RemotePE เป็น RAT ที่เขียนด้วย C++ แบบ object-oriented และ multithreaded รองรับคำสั่งหกหมวดหลักที่อ้างอิงชื่อ RTTI class ได้แก่ IConfigProfile (อ่าน/แก้การตั้งค่า C2), IConsole (สั่งรันคำสั่งและจัดการ DLL module ผ่านระบบ plugin), IFileExplorer (จัดการไฟล์และ ZIP), IProcess (list/create/kill process), ITimer (ควบคุม sleep/exit) และ IPing (no-op) เทคนิคที่น่าสนใจคือคำสั่งลบไฟล์จะเขียนทับไฟล์ด้วย byte คงที่ถึงเจ็ดครั้งก่อนเปลี่ยนชื่อและลบ เป็นรูปแบบ secure deletion เดียวกับที่พบใน PondRAT และ POOLRAT ซึ่งเป็นมัลแวร์ชุดอื่นของ Lazarus นอกจากนี้ RemotePE ยังคอยเช็กการมีอยู่ของ Windows event ชื่อ 554D5C1F-AABE-49E4-AB57-994D22ECED28 เพื่อใช้ปลุกตัวเองแบบ out-of-band จุดที่บ่งชี้ที่มาของผู้โจมตีคือ Fox-IT พบว่าการส่ง payload ทั้งหกครั้งที่ทดสอบสำเร็จเกิดขึ้นในช่วงเวลากลางวันของโซนเวลา UTC+9 (08:00–19:00 น. ตามเวลามาตรฐานเกาหลี) สอดคล้องกับปฏิบัติการแบบ actor-in-the-loop ที่ operator เป็นคนตัดสินใจส่ง payload เอง ส่วนโครงสร้างพื้นฐาน C2 ถูกวางไว้บน shared hosting ของ Namecheap เช่นเดียวกับแคมเปญ ThemeForestRAT และ PondRAT ก่อนหน้า ทำให้การบล็อกด้วย IP ไม่ได้ผลเพราะเซิร์ฟเวอร์เดียวกันยังโฮสต์โดเมนที่ถูกต้องตามกฎหมายอยู่ด้วย Fox-IT พบตัวอย่าง RemotePE สี่รายการที่แสดงให้เห็นว่ามัลแวร์ถูกพัฒนาอย่างต่อเนื่องระหว่างกลางปี 2566 ถึงกลางปี 2567 โดยตัวอย่างแรกสุดมี timestamp วันที่ 4 กรกฎาคม 2566
ผลกระทบต่อไทย
ประเทศไทยมีภาคส่วน cryptocurrency และ DeFi ที่กำลังเติบโตอย่างรวดเร็ว ซึ่งตรงกับเป้าหมายหลักของ Lazarus บริษัทการเงิน, Exchange, และนักลงทุน crypto รายใหญ่ในไทยมีความเสี่ยงสูง โดยเฉพาะหากพนักงานได้รับการติดต่อผ่านโซเชียลมีเดียจากบุคคลที่อ้างว่าเป็น partner หรือ recruiter เนื่องจาก RemotePE ไม่ทิ้งไฟล์บนดิสก์ การตรวจสอบด้วย Antivirus แบบดั้งเดิมจึงไม่เพียงพอ ทีม SOC ต้องพึ่งพา Memory forensics และ Behavioral detection แทน
คำแนะนำ
- ระวัง social engineering ผ่าน Telegram โดยเฉพาะการนัดหมายประชุมกับบุคคลที่ไม่รู้จักผ่าน Calendly หรือแพลตฟอร์มนัดหมายออนไลน์
- ตรวจสอบ Memory ด้วย Tools เช่น Volatility เพื่อหา Injected PE ที่ไม่มีไฟล์บนดิสก์
- ตั้ง Alert สำหรับการเรียก Syscall ผิดปกติ และการ Patch ETW ซึ่งเป็นสัญญาณของ Evasion
- ตรวจสอบ Network Traffic ไปยัง
aes-secure[.]netและ domain ที่ไม่คุ้นเคย - ใช้ EDR ที่รองรับ Memory Scanning และ Behavioral analysis แทนการพึ่ง Static signature เพียงอย่างเดียว
Indicators of Compromise (IoCs)
หมายเหตุ: โดเมนด้านล่าง defang ไว้ (ใส่
[.]แทน.) เพื่อความปลอดภัย ห้ามเข้าถึงโดยตรง
| ประเภท | ตัวบ่งชี้ | คำอธิบาย |
|---|---|---|
| Domain | livedrivefiles[.]com | C2 RemotePE — พบครั้งแรก 2023-07-17, ล่าสุด 2025-07-27 |
| Domain | aes-secure[.]net | C2 หลัก — พบครั้งแรก 2023-09-18, ยังใช้งาน |
| Domain | azureglobalaccelerator[.]com | C2 — พบครั้งแรก 2023-09-18 |
| Domain | msdeliverycontent[.]com | C2 — พบครั้งแรก 2024-02-19, ล่าสุด 2026-05-09 |
| Domain | akamaicloud[.]com | C2 — พบครั้งแรก 2024-02-19, ล่าสุด 2025-02-14 |
| Domain | intelcloudinsights[.]com | C2 — พบครั้งแรก 2024-04-13, ล่าสุด 2026-04-23 |
| Domain | devicelinkintel[.]com | C2 — พบครั้งแรก 2024-08-16, ยังใช้งาน |
| File Name | Iassvc.dll | DPAPILoader ปลอมเป็น Internet Authentication Service |
| Mutex | 554D5C1F-AABE-49E4-AB57-994D22ECED28 | Windows event สำหรับ out-of-band wakeup ของ RemotePE |
| SHA-256 | 4f6ae0110cf652264293df571d66955f7109e3424a070423b5e50edc3eb43874 | DPAPILoader (Iassvc.dll) |
| SHA-256 | aa4a2d1215f864481994234f13ab485b95150161b4566c180419d93dda7ac039 | DPAPILoader (wmiclnt.dll) |
| SHA-256 | 159471e1abc9adf6733af9d24781fbf27a776b81d182901c2e04e28f3fe2e6f3 | DPAPILoader (sspicli.dll) |
| SHA-256 | 7a05188ab0129b0b4f38e2e7599c5c52149ce0131140db33feb251d926428d68 | RemotePELoader (ถอดรหัสจากดิสก์) |
| SHA-256 | 37f5afb9ed3761e73feb95daceb7a1fdbb13c8b5fc1a2ba22e0ef7994c7920ef | RemotePE (2023-07-04) |
| SHA-256 | 6b33d20196267b0d64bca815ca863558d26b17cee77caf62a6cce8eae555ac8d | RemotePE (2023-10-17) |
| SHA-256 | 62e040a32aac2d2faa8d2bffa2cf7ab662228cebf9bb78eaa0a633c0b729d119 | RemotePE (2024-04-18) |
| SHA-256 | 710f15302859c7af1c1e25219d704841b3fdbc48f16a5a574d5ab6cf4f4842e8 | RemotePE (2024-05-11) |
