북한의 라자루스 그룹이 암호화폐 및 은행을 표적으로 삼는 파일리스 RemotePE 트로이목마를 배포했습니다

사이버 보안 분석가들이 RemotePE라는 새로운 파일리스 원격 접속 트로이목마(RAT)를 발견했습니다. 이 악성코드는 북한과 연관된 것으로 추정되는 사이버 범죄 조직인 라자루스 그룹이 은행과 암호화폐 기업을 공격하는 데 사용하고 있습니다.

최근 분석에 따르면 이 악성 소프트웨어는 메모리에서만 작동하기 때문에 감염된 컴퓨터 시스템에 흔적을 남기는 것이 거의 불가능합니다.

라자루스 그룹은 사회공학적 기법을 이용하여 투자자들을 속였습니다

라자루스 그룹은 사회공학적 기법을 통해 해킹을 시작합니다. 그들은 텔레그램을 통해 거래 회사의 직원인 척 가장합니다. 이를 위해 공격자들은 회의 일정을 잡는 데 널리 사용되는 캘런들리(Calendly)와 픽타임(Picktime)의 가짜 계정을 사용합니다.

회의 승인을 받은 후, 일련의 과정이 진행되어 첫 번째 악성코드가 설치됩니다. 이러한 "인간 개입" 방식은 라자루스 운영자들이 효과적인 유인책을 개발할 수 있도록 해줍니다.

이 악성 프로그램은 디스크 작업량을 줄이는 것을 목표로 하는 잘 짜여진 3단계 과정을 통해 작동합니다. 첫 번째 단계는 DPAPILoader입니다. 이는 동적 링크 라이브러리(DLL)이며, 2023년 11월부터는 Iassvc.dll이라는 파일명으로도 알려져 있습니다.

이 프로그램은 Windows 데이터 보호 응용 프로그램 인터페이스(DPAPI)를 사용하여 디스크에 저장된 페이로드를 복호화합니다.

복호화된 페이로드는 RemotePELoader로 전달되며, RemotePELoader는 aes-secure[.]net의 C2 서버와 HTTP 연결을 생성합니다. 그 후, 마지막 RemotePE 단계를 다운로드하여 메모리에서 실행합니다.

EDR 솔루션을 Hell's Gate 기법과 ETW 패칭을 사용하여 탐지를 회피합니다.

마지막으로, RemotePE RAT의 주요 페이로드는 파일 시스템과 전혀 접촉하지 않으므로 공격 과정 전반에 걸쳐 포렌식 가시성이 매우 낮습니다. 이 멀웨어는 2025년 9월에 처음 발견되었습니다.

보도된dent에서, 한 탈중앙화 금융(DeFi) 회사의 인프라가 RemotePE, PondRAT, ThemeForestRAT이라는 세 가지 RAT(원격 접근 트로이목마)에 의해 손상되었으며, 이 RAT들은 결국 서로 교체되었습니다.

첨단 기술과 인공지능이 트레이더들에게 최악의 악몽으로 떠오르고 있다

이전에는 암호화폐 투자자들이 거래 효율화를 위해 인공지능(AI)과 기술을 활용했습니다. 그러나 이제 이러한 도구들이 해커들의 손에 들어가면서 투자자들에게 막대한 금전적 손실을 입히고 있습니다.

DPAPI를 이용한 환경 키 지정, 메모리 전용 실행, ETW 패칭, 그리고 헬스 게이트(Hell's Gate) 취약점 때문에 RemotePE는 기존 방식으로는 탐지하기가 거의 불가능합니다. Fox-IT이러한 특징들이 일반적인 파괴적 악성코드 공격과는 달리, RemotePE가 공격을 시작하기 전에 정찰 활동을 수행하기 위해 장기간 스스로를 유지하도록 설계되었음을 시사한다고 지적했습니다.

라자루스 그룹은 2026년 첫 4개월 동안 약 5억 7,700만 달러 상당의 암호화폐를 훔쳤습니다. 전 세계 암호화폐 도난액의 76%, 이는 단 두 건의 주요 해킹dent블록체인 분석 회사인 TRM 랩스에 따르면 .

북한에 의한 암호화폐 해킹 비율이 급격히 증가했습니다. 이전에는 한 자릿수에 불과했던 이 비율은 2025년 64%, 2026년 76%로 예측됩니다. 2017년 이후 북한이 탈취한 금액은 60억 달러에 달합니다. 이러한 자금은 제재 속에서 북한의 무기 및 핵 개발 프로그램 자금으로 사용되고 있는 것으로 추정됩니다.

해커들이 주요 기술 기업 개발자들을 불안정하게 만들기 위해 AI를 이용하고 있다

사이버 보안 전문가들은 해커들이 고스트(Ghost) 콘텐츠 관리 시스템을 사용하는 700개 이상의 사이트를 대상으로 SQL 인젝션 취약점을 악용한 대규모 공격을 발견했습니다. 이 사이버 공격을 통해 공격자들은 관리자 계정의 사용자 이름과 비밀번호에 접근하여 자바스크립트 리디렉션을 이용해 클릭픽스(ClickFix) 배포 채널에 악성코드를 주입할 수 있었습니다.

대상 플랫폼에는 학술 기관, AI 관련 사업, 블록체인 서비스, 서비스형 소프트웨어(SaaS) 공급업체, 사이버 보안 연구 기관, 뉴스 통신사 및 핀테크 기업이 포함됩니다.

가짜 CAPTCHA를 마주친 피해자는 실행 대화 상자에 Base64로 인코딩된 문자열을 입력하라는 메시지를 받습니다. 이 단계에서 배치 스크립트가 포함된 ZIP 파일을 다운로드할 수 있습니다. 이 배치 스크립트는 PowerShell 명령을 실행하여 원격 서버에서 서명된 DLL 또는 JavaScript 파일을 가져옵니다.

이전 버전의 악성코드는 rundll32.exe를 사용하여 DLL을 실행했습니다. 그러나 최근 버전은 Grape라는 오픈 소스 버전의tron 애플리케이션용 Inno Setup 설치 프로그램을 설치합니다. 설치가 완료되면 악성코드는 지속적으로 실행되며 30초마다 C2 도메인 web-telegram[.]ug에 접속합니다.