นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดเผยรายละเอียดของมัลแวร์ข้ามแพลตฟอร์มใหม่ชื่อ RemotePE ซึ่งกลุ่มแฮ็กเกอร์ลาซารุส (Lazarus Group) ที่มีความเชื่อมโยงกับเกาหลีเหนือได้นำมาใช้ในการโจมตีองค์กรด้านการเงินและสกุลเงินคริปโตเคอร์เรนซี การโจมตีครั้งนี้ถูกออกแบบมาอย่างซับซ้อนเพื่อหลีกเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัย

จากการวิเคราะห์โดยทีม Fox-IT ซึ่งเป็นบริษัทในเครือ NCC Group พบว่า RemotePE เป็นส่วนหนึ่งของชุดการโจมตีแบบหลายขั้นตอน (Multi-stage attack chain) โดยมีกลไกการทำงานที่เริ่มจากโปรแกรมโหลดเดอร์ตัวแรกชื่อ DPAPILoader ซึ่งมีหน้าที่ในการถอดรหัส (Decrypt) ข้อมูลที่ถูกซ่อนไว้ เพื่อเตรียมพร้อมสำหรับการโหลดส่วนประกอบที่เป็นอันตรายในลำดับต่อไป

สิ่งที่น่าสนใจคือช่องโหว่นี้ใช้ประโยชน์จากระบบ DPAPI (Data Protection Application Programming Interface) ของไมโครซอฟท์ในการจัดการการถอดรหัส ก่อนที่จะมีการเรียกใช้ RemotePELoader เพื่อโหลด RemotePE ที่ทำงานแบบ Memory-Only หรือทำงานบนหน่วยความจำโดยตรง วิธีการนี้ช่วยให้มัลแวร์สามารถหลีกเลี่ยงการเขียนไฟล์ลงดิสก์ ทำให้ยากต่อการตรวจจับโดยโปรแกรมป้องกันไวรัสแบบดั้งเดิมและลดทิ้งร่องรอยหลังการโจมตี

คำศัพท์เทคนิคที่น่าสนใจ

• Memory-Only RAT – มัลแวร์ประเภท Remote Access Trojan ที่ทำงานบนหน่วยความจำ (RAM) โดยตรงโดยไม่เขียนไฟล์ลงฮาร์ดดิสก์ เพื่อหลีกเลี่ยงการตรวจจับ
• Multi-stage attack chain – ชุดการโจมตีที่แบ่งออกเป็นหลายขั้นตอน โดยแต่ละขั้นจะมีหน้าที่แตกต่างกันไปเพื่อลักลอบเข้าสู่ระบบและทำงานอย่างเป็นขั้นตอน
• DPAPI (Data Protection API) – อินเทอร์เฟซของไมโครซอฟท์ที่ใช้สำหรับเข้ารหัสและถอดรหัสข้อมูล เพื่อปกป้องข้อมูลที่เป็นความลับบนระบบปฏิบัติการวินโดวส์
• Loader – ชิ้นส่วนของมัลแวร์ที่มีหน้าที่หลักในการดาวน์โหลดหรือโหลดโค้ดที่เป็นอันตราย (Payload) จากแหล่งที่ซ่อนอยู่เข้าสู่หน่วยความจำของระบบ

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/lazarus-deploys-remotepe-memory-only.html