TechFlowの報道によると、5月26日、Cryptopolitanは、北朝鮮関係のハッカー組織「Lazarus Group」が、銀行、暗号資産取引所およびフィンテック企業を主な標的にした、ファイルを用いないリモートアクセストロイの木馬「RemotePE」を展開していることを明らかにしました。このマルウェアは純粋にメモリ上で動作し、プロセス・ホロウイング(Process Hollowing)、解析検出回避機能、および暗号化されたC2通信を組み合わせており、従来型のウイルス対策ソフトおよびデジタルフォレンジクスツールでは検出が困難です。
報道では、攻撃は通常、Telegramを用いたソーシャルエンジニアリングによって開始されると指摘されています。攻撃者は取引会社の従業員を装い、偽造されたCalendlyおよびPicktimeのリンクを用いて被害者を誘導し、悪意あるプログラムのインストールを促します。これにより、ファイルシステムへの接触を一切伴わず、ペイロードの実行が完了します。
お気に入りに追加
SNSで共有
