นักวิจัยด้านความปลอดภัยไซเบอร์ได้เปิดเผยรายละเอียดเกี่ยวกับมัลแวร์ข้ามแพลตฟอร์มใหม่ล่าสุดชื่อ RemotePE ซึ่งถูกกลุ่มแฮกเกอร์ลาซารัส (Lazarus Group) ที่มีความเชื่อมโยงกับเกาหลีเหนือนำมาใช้ในการโจมตีองค์กรด้านการเงินและสกุลเงินคริปโตเคอร์เรนซี โดยมัลแวร์ตัวนี้มีความพิเศษตรงที่ทำงานบนหน่วยความจำ (Memory-Only) โดยไม่เขียนไฟล์ลงดิสก์ ทำให้ยากต่อการตรวจจับจากโปรแกรมป้องกันไวรัสแบบดั้งเดิม

จากการวิเคราะห์ของ Fox-IT ซึ่งเป็นบริษัทในเครือ NCC Group พบว่า RemotePE เป็นส่วนหนึ่งของช่องทางการโจมตีแบบหลายขั้นตอน (Multi-stage attack chain) ที่อาศัยการทำงานร่วมกับโหลดเดอร์สองตัว ได้แก่ DPAPILoader และ RemotePELoader โดย DPAPILoader จะทำหน้าที่ถอดรหัส (Decrypt) ข้อมูลที่ถูกซ่อนไว้เพื่อเตรียมพร้อมสำหรับการโหลดมัลแวร์ชั้นสูงในขั้นตอนถัดไป

การทำงานของมัลแวร์ชุดนี้ถูกออกแบบมาอย่างซับซ้อนเพื่อหลีกเลี่ยงระบบรักษาความปลอดภัย (Evasion) โดยการใช้ประโยชน์จาก DPAPI (Data Protection Application Programming Interface) ของไมโครซอฟท์ ซึ่งเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถดึงข้อมูลที่ถูกเข้ารหัสได้อย่างถูกกฎหมายก่อนจะนำไปสู่การติดตั้ง Remote Access Trojan (RAT) ที่สามารถควบคุมระบบของเหยื่อได้จากระยะไกล สิ่งนี้สะท้อนให้เห็นถึงพัฒนาการของกลยุทธ์ของกลุ่มลาซารัสที่มีความก้าวหน้าและต่อเนื่องในการหาช่องทางเจาะระบบภาคการเงิน

คำศัพท์เทคนิคที่น่าสนใจ

• Memory-Only – การทำงานบนหน่วยความจำเท่านั้น โดยไม่มีการเขียนข้อมูลหรือไฟล์ลงบนฮาร์ดดิสก์ เพื่อหลีกเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัย (Forensics)
• RAT (Remote Access Trojan) – มัลแวร์ประเภทหลักหลังที่ช่วยให้ผู้โจมตีสามารถควบคุมและเข้าถึงระบบคอมพิวเตอร์ของเหยื่อได้จากระยะไกลโดยไม่รู้ตัว
• DPAPI (Data Protection Application Programming Interface) – ระบบการเข้ารหัสข้อมูลของไมโครซอฟท์ที่ใช้สำหรับปกป้องข้อมูลส่วนตัวบนระบบปฏิบัติการวินโดวส์ แต่ถูกผู้โจมตีนำมาใช้ประโยชน์ในการถอดรหัส
• Multi-stage attack chain – ช่องทางการโจมตีที่แบ่งเป็นหลายขั้นตอน มักใช้โปรแกรมโหลดเดอร์ (Loader) หลายตัวเพื่อค่อยๆ ถอดรหัสและโหลดมัลแวร์จริงเพื่อลดโอกาสที่จะถูกจับได้

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/lazarus-deploys-remotepe-memory-only.html