TRM Labs表示,与拉撒路集团有关的盗窃在2026年前四个月达到约 $577 million。据称,该组织利用仅在内存中运行的 RemotePE 恶意软件和 Telegram 诱饵攻击银行和加密货币公司。
网络安全分析师表示,被认为与朝鲜有关的网络犯罪组织拉撒路集团正使用一种名为 RemotePE 的无文件远程访问木马,通过基于 Telegram 的社会工程攻击以及伪造的 Calendly 和 Picktime 链接,瞄准银行和加密货币公司。该恶意软件完全在内存中运行,减少了取证痕迹,并帮助其规避检测。在已披露的攻击活动中,该组织采用了一个三阶段感染链,涉及 DPAPILoader、一个名为 Iassvc.dll 的动态链接库文件,以及 RemotePELoader,随后再在内存中加载最终的 RemotePE 载荷。TRM Labs称,与拉撒路集团有关的盗窃在2026年前四个月达到约 $577 million,占同期全球加密货币盗窃的76%。同一份报告称,与朝鲜有关的行为者自2017年以来累计窃取了 $6 billion。