TechFlow 보도에 따르면, 5월 26일 Cryptopolitan은 북한 관련 해커 조직인 ‘라자루스 그룹(Lazarus Group)’이 은행, 암호화폐 거래소 및 핀테크 기업을 주요 표적으로 삼아 무파일형 원격 접근 트로이 목마 ‘RemotePE’를 배포한 사실을 발견했다. 이 악성 소프트웨어는 순수 메모리 기반으로 실행되며, 프로세스 홀로잉(process hollowing), 반분석 탐지 회피 기술, 암호화된 C2(Command & Control) 통신을 결합해 전통적인 백신 및 포렌식 도구로는 탐지하기 어렵다.
보도에 따르면, 공격은 일반적으로 텔레그램을 통한 사회공학 방식으로 전개되며, 공격자들은 거래 회사 직원을 사칭해 위조된 Calendly 및 Picktime 링크를 통해 피해자를 유도해 악성 프로그램을 설치하게 한 후, 파일 시스템과의 직접적인 접촉 없이 페이로드를 실행한다.
Cryptopolitan 보도에 따르면, 북한 관련 해커 조직인 ‘라자루스 그룹(Lazarus Group)’이 은행, 암호화폐 거래소 및 핀테크 기업을 주요 표적으로 삼아 파일리스(filerless) 원격 접근 트로이 목마 ‘RemotePE’를 배포한 것으로 밝혀졌다. 이 악성 소프트웨어는 순수 메모리 기반으로 실행되며, 프로세스 홀로잉(process hollowing), 분석 탐지 회피 기법, 암호화된 C2(Command & Control) 통신을 결합해 전통적인 백신 및 포렌식 도구로는 탐지하기 어렵다. 보도는 공격이 일반적으로 텔레그램(Telegram)을 통한 사회공학 기법으로 시작되며, 공격자들이 거래 회사 직원을 사칭해 위조된 Calendly 및 Picktime 링크를 통해 피해자가 악성 프로그램을 설치하도록 유도한다고 전했다. 이 과정에서 최종 페이로드는 파일 시스템과의 직접적인 접촉 없이 메모리 내에서 실행된다.
Web3 심층 보도에 집중하고 흐름을 통찰
