นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดของมัลแวร์ข้ามแพลตฟอร์มชื่อ RemotePE ที่ถูกนำมาใช้โดยกลุ่ม Lazarus ซึ่งมีความเชื่อมโยงกับเกาหลีเหนือ ในการโจมตีองค์กรด้านการเงินและสกุลเงินคริปโต ตามการรายงานจาก Fox-IT ซึ่งเป็นบริษัทย่อยของ NCC Group มัลแวร์ตัวนี้ถูกออกแบบมาให้ทำงานในหน่วยความจำ (Memory-Only) โดยตรง ทำให้ยากต่อการตรวจจับโดยโปรแกรมป้องกันไวรัสแบบดั้งเดิม

การโจมตีครั้งนี้ถูกขับเคลื่อนผ่านชุดคำสั่งโจมตีแบบหลายขั้นตอน (Multi-stage attack chain) ที่ประกอบด้วยโปรแกรมโหลดเดอร์ (Loader) สองตัวหลัก ได้แก่ DPAPILoader และ RemotePELoader โดย DPAPILoader จะทำหน้าที่ในการถอดรหัส (Decrypt) ข้อมูลที่ถูกซ่อนไว้ก่อนที่จะส่งต่อให้กับ RemotePELoader เพื่อโหลดและดำเนินการมัลแวร์ RemotePE ในที่สุด

การใช้เทคนิคการทำงานในหน่วยความจำและกระบวนการถอดรหัสแบบหลายชั้นนี้ ถือเป็นกลยุทธ์ของกลุ่ม Lazarus ในการหลีกเลี่ยงระบบรักษาความปลอดภัย (Evasion) และไม่ทิ้งไฟล์มัลแวร์ไว้บนฮาร์ดดิสก์ (Fileless malware) สิ่งนี้สะท้อนให้เห็นถึงความซับซ้อนและพัฒนาการของเทคนิคการโจมตีที่มุ่งเน้นไปที่ภาคส่วนการเงินและสินทรัพย์ดิจิทัล ซึ่งผู้เชี่ยวชาญแนะนำให้องค์กรต้องเพิ่มมาตรการรับมือและตรวจสอบพฤติกรรมที่น่าสงสัยในระบบอย่างรอบคอบ

คำศัพท์เทคนิคที่น่าสนใจ

• Memory-Only RAT – มัลแวร์ประเภท Trojan ที่ทำงานบนหน่วยความจำ (RAM) โดยตรงโดยไม่เขียนตัวเองลงดิสก์ เพื่อหลีกเลี่ยงการตรวจจับ
• Loader – ชิ้นส่วนของมัลแวร์หรือโค้ดที่มีหน้าที่โหลดและดำเนินการมัลแวร์ชิ้นอื่นๆ ที่ถูกแพ็กหรือเข้ารหัสไว้ลงในระบบ
• Fileless Malware – มัลแวร์ที่ไม่สร้างหรือเขียนไฟล์ตัวเองลงในฮาร์ดดิสก์ แต่ใช้ประโยชน์จากเครื่องมือของระบบปฏิบัติการหรือทำงานอยู่ในหน่วยความจำเท่านั้น
• Multi-stage attack chain – ลำดับของการโจมตีที่แบ่งเป็นหลายขั้นตอน โดยแต่ละขั้นตอนจะทำหน้าที่แตกต่างกันไปเพื่อให้บรรลุเป้าหมายสุดท้าย

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/lazarus-deploys-remotepe-memory-only.html