サイバーニュース.jp

世界のサイバーなニュースを配信

ダークウェブで提供される高度な情報窃取マルウェア「Rhadamanthys Stealer」

カテゴリ:

, , , , , , , , ,

はじめに:ダークウェブに登場したRhadamanthys Stealer

「Rhadamanthys」と名付けられた高度な情報窃取マルウェアが、アンダーグラウンドのマーケットプレイスで販売されています。月額299ドルから499ドルのサブスクリプションパッケージで提供されており、その洗練されたブランディングと段階的な価格設定は、初心者向けのツールではなく、プロフェッショナルグレードのサービスとしての地位を確立しています。

Rhadamanthysの進化と「ソフトウェアハウス」戦略

2022年9月に「kingcrete2022」というエイリアスで登場して以来、Rhadamanthysは実験的なプロジェクトから、ダークウェブ上で最も機能豊富な情報窃取マルウェアの一つへと急速に進化しました。当初は「Hidden Bee」という先行マルウェアのコードを基にしていましたが、開発者たちはそのモジュラーアーキテクチャを改良し、カスタムローダー、高度な難読化、柔軟な展開オプションを提供しています。初期バージョンではWAVやJPEGのステガノグラフィーを利用してペイロードを密輸していましたが、最新のv0.9.2では、暗号化されたモジュールをPNG画像に直接埋め込むことで配信を簡素化しています。

Rhadamanthysは、Torホスト型ストアフロント、Telegramサポートチャネル、そして「RHAD Security」や「Mythical Origin Labs」といった明確なブランドアイデンティティを持つ「ソフトウェアハウス」アプローチを採用しています。そのストアフロントでは、主力の情報窃取マルウェアだけでなく、「Elysium Proxy Bot」や「Crypt Service」といった補完的なサービスも提供されており、オペレーターが完全なサイバー犯罪エコシステムを構築しようとする野心を示しています。

SaaSモデルを採用した料金体系

オペレーターはRhadamanthysを3つの主要なティアで販売しています。最も安価な「Self-Hosted」パッケージは月額299ドルで、購入者は自身のインフラストラクチャにマルウェアを展開できます。これは、既存のサーバー容量を持ち、第三者の関与を最小限に抑えたい脅威アクターにとって魅力的です。

  • Self-Hostedパッケージ:月額299ドル。購入者のインフラストラクチャで展開。
  • Managed Serverサブスクリプション:月額499ドル。開発者が管理するレンタルサーバーへのアクセス、自動更新、優先的な技術サポートが含まれます。
  • Enterpriseパッケージ:個別の交渉を通じて利用可能。完全なカスタマイズ、SLA保証、専用サポートを提供します。

このようなビジネスモデルは、一度限りの販売や単純な永久ライセンスで提供されることが多い他の情報窃取マルウェアとは異なり、珍しいものです。Rhadamanthysの継続的なサブスクリプション料金とサービスのエコシステムは、正規のSaaSプラットフォームを模倣しており、高度なプロフェッショナリズムを示しています。アナリストは、このプロフェッショナルな外観が、信頼性と継続的なサポートを重視する高度なサイバー犯罪グループを引き付ける可能性があると警告しています。

最新版v0.9.2の高度な機能と回避技術

Rhadamanthysの最新バージョンでは、いくつかの注目すべき機能強化が導入されています。アナリストによるローダーのアンパックを阻止するため、有名なLumma Stealerのポップアップを模倣した新しいメッセージボックスが追加されました。標準的なPE構造の代わりにカスタム実行可能ファイル形式(XS1BおよびXS2B)を使用することで、自動化されたツールを欺き、文字列の難読化には以前のXORルーチンに代わってRC4が採用されています。

マルウェアの構成データは、0xBEEFマーカーで始まり、複数のコマンド&コントロール(C2)URLをサポートし、LZOで圧縮され、ChaCha20で暗号化されています。回避機能も拡張されており、「Strategy」モジュールは、MACアドレスやハードウェアIDのブロックリスト、デフォルトの壁紙チェック、分析環境で一般的に使用されるサンプルファイル検出など、サンドボックス検出リストをオンデマンドで取得します。ランダム化されたミューテックスシードはユニバーサルワクチン技術を阻止し、公開NTPサーバーとの時刻同期チェックにより、マルウェアの操作が隠蔽されたままになります。最後に、Netclientコンポーネントは、以前のWAVおよびJPEG方式を廃止し、PNGベースのステガノグラフィーを介してペイロード配信を管理します。情報窃取マルウェアのコアは、設定可能なリストから選択された一時停止中の正規プロセス内で実行され、検出をさらに困難にしています。

広範な情報窃取能力とセキュリティ対策

展開されると、Rhadamanthysは認証情報、Cookie、ブラウザのフィンガープリント、暗号通貨ウォレットデータ、VPN設定を収集し、さらにLuaベースのプラグインを統合して広範なサードパーティソフトウェアをカバーします。サブスクリプション料金と継続的な改良により、Rhadamanthysは、マルウェア・アズ・ア・サービス(MaaS)がエンタープライズプラクティスを採用する傾向の典型例となっています。

セキュリティチームは、PNGで配信されるペイロードの検出ツールを更新し、新しいミューテックスおよび構成形式を監視し、マルウェアの進化する難読化技術に対して警戒を怠らないようアドバイスされています。Rhadamanthysが作成者にとって持続可能な収益源としての地位を確立するにつれて、防御側は将来のリリースにおけるさらなるプロフェッショナル化と機能拡張を予測する必要があります。

元記事: https://gbhackers.com/rhadamanthys-stealer/

投稿をさらに読み込む