北韓駭客Lazarus運用PondRAT、ThemeForestRAT、RemotePE對金融與加密貨幣產業下手

惡名昭彰的北韓駭客組織Lazarus，繼今年5月傳出攻擊臺灣加密貨幣交易所幣託（BitoPro）引起關注，最近有資安業者針對駭客使用的作案工具公布調查結果，指出Lazarus旗下團隊去年先後使用3款遠端存取木馬（RAT）犯案，使得攻擊行動變得更加隱密且難以捉摸。

資安業者Fox-IT、NCC Group聯手，在最近幾年針對北韓駭客組織Lazarus旗下的特定團體進行追蹤，發現這些駭客涉嫌犯下多起資安事故，主要目標是金融與加密貨幣產業，特別的是，這些駭客在活動裡會運用多款RAT木馬，包括：PondRAT、ThemeForestRAT，以及RemotePE。

對於這個團體的來歷，Fox-IT指出與AppleJeus、Citrine Sleet、UNC4736，以及Gleaming Pisces等北韓駭客組織有所交集。

其中，PondRAT去年因駭客組織AppleJeus用於攻擊行動，而受到較多的關注，Fox-IT指出與另一支木馬PoolRAT（SimpleTea）存在許多相似之處；ThemeForestRAT在記憶體內執行，使用超過6年，直到最近才被揭露。

至於最後一款木馬程式RemotePE，Fox-IT指出是這組人馬手上最先進的武器，在其中一起發生在2024年的資安事故裡，他們看到駭客先使用了前兩款木馬程式之後，最後清除相關元件及檔案，然後植入RemotePE，這代表攻擊者打算進行下個階段的活動。

不過，上述木馬這些駭客並非每次犯案都會全部使用，但無論他們使用那些木馬程式犯案，都會透過社交工程取得初期的存取管道，在其中一起事故當中，駭客疑似利用零時差漏洞，而能在受害電腦執行程式碼。

在去年一起針對去中心化金融（DeFi）組織的資安事故裡，駭客先是在Telegram假冒貿易公司的員工，透過假的會議網站接觸員工，接著，該名員工的電腦遭到入侵，被植入PondRAT，雖然Fox-IT推測駭客使用了Chrome零時差漏洞，但無法確認入侵的手法。

後續這些駭客運用各式工具進行偵察，觀察受害組織的網路環境，以及他們日常活動。事隔3個月，駭客才再度行動，但他們先移除了PerfhLoader、PondRAT、ThemeForestRAT等作案工具，最終部署RemotePE。

為了持續在受害組織活動，駭客濫用名為SessionEnv的Windows服務來達到目的，藉由這項服務執行Phantom DLL loading手法，載入惡意程式載入工具PerfhLoader。此外，他們竄改機碼提升權限，從而載入核心驅動程式，並用來繞過或停用EDR代理程式。

但為何攻擊者要清除原本的木馬程式，並更換為RemotePE？原因很有可能要採取更高的安全層級，避免被防守方察覺。RemotePE透過惡意程式下載工具RemotePELoader從C2取得、部署，此下載工具駭客以Windows資料保護API（DPAPI）進行加密處理，然後運用DPAPILoader載入、執行。採用DPAPI的做法，將使得研究人員想要還原有效酬載變得更加困難。不過，針對RemotePE這支惡意程式，Fox-IT並未公布太多細節，僅有提及駭客以C++打造而成，承諾他們未來將公布更多調查結果。