Rhadamanthys Stealerインフラの押収
広範な報告によると、悪名高いマルウェアインフラを標的とした大規模な法執行機関の作戦により、Rhadamanthys Stealerのコントロールパネルが混乱に陥り、緊急のセキュリティ警告が発令されました。サイバーセキュリティコミュニティにおける重要な進展として、ドイツの法執行機関が主要なRhadamanthys Stealerのインフラを掌握した可能性が指摘されており、最も活発なマルウェア・アズ・ア・サービス(MaaS)の一つに対する潜在的に大きな打撃となっています。
過去24〜48時間で展開されたとみられるこの事件は、複数の管理アラートが緊急のサーバー再インストールと移行手順を警告しているため、脅威アクターとその顧客の間で広範なパニックを引き起こしています。
法執行機関による侵害の詳細
脅威インテリジェンスチャネルで流布しているインシデント報告によると、EUの法執行機関が主要なRhadamanthysコマンド&コントロールサーバーを侵害し、複数のオペレーターパネルにアクセスし、ユーザーデータを改ざんしました。この状況の深刻さから、Stealerの管理者は直ちに行動を起こし、すべてのアクティブユーザーに対し、直ちに操作を一時停止し、予防的なセキュリティ対策としてインフラを新しいサーバーに移行するよう指示する緊急指令を発しました。
法執行機関の作戦の証拠は、ユーザーがRhadamanthysコントロールパネルの主要なログイン方法が強制的に証明書ベースの認証のみに変更されたことを発見したときに明らかになりました。この突然の変更により、正当なオペレーターは標準のパスワードベースの認証情報を使用してマルウェアインフラにアクセスできなくなり、不正な管理介入の明確な指標となりました。ある管理者は、ゲストがサーバーを訪問し、ルートログインアクセス用のパスワードが削除され、すべてのコントロールパネルが厳格な証明書ログインモードに切り替えられたことを確認しました。
管理者からの緊急指示と運用への影響
この発見後、ユーザーはアクセスを回復しようとしましたが、体系的なブロックの試みに直面しました。Rhadamanthysチームはその後、すべてのパネルオペレーターに対し、緊急の封じ込め措置として、痕跡を直ちに削除し、システムログを消去し、サーバーを再インストールし、電源をオフにするよう助言しました。このガイダンスは特に、自動管理パネルを通じてインフラをインストールしたユーザーを対象としており、これらのインストールが最も深刻に侵害されたと報告されています。
運用への影響は甚大です。RhadamanthysのTorオニオンドメインと関連するeXploitハッキングフォーラムドメインはアクセス不能またはブロックされており、ユーザーは現在、ミラーリンクや代替のTorルートを通じてプラットフォームにアクセスすることしかできません。ブロックされたTORウェブサイトの通知は複数のユーザー報告に現れており、標準的なアクセス方法によるインフラの現在の利用不能を確認しています。
サイバー犯罪対策における重要な勝利
この事件は、Rhadamanthysの運用にとって、Stealerが主要な脅威として出現して以来、最も重要な混乱の一つを表しています。このマルウェアは、世界中の様々な被害組織で数千件の認証情報窃盗、データ流出キャンペーン、詐欺操作の原因となってきました。今回の乗っ取りのタイミングと協調的な性質は、Stealerのコアインフラを標的とした計画的な多国籍法執行機関の行動を強く示唆しています。
サイバーセキュリティコミュニティは状況を注意深く監視しており、セキュリティ研究者は管理アラートとインフラステータスの変更の信憑性を確認しています。法執行機関の作戦の詳細はまだ不明ですが、予備分析によると、当局はオペレーターの認証情報、顧客データ、コントロールパネルシステムへのアクセスを成功裏に取得したとされており、これはサイバー犯罪活動を阻止する上で重要な勝利となります。
オペレーターがインフラの再構築に奔走し、脅威アクターが損害を評価する中、この事件は、サイバー犯罪インフラを大規模に標的とする協調的な国際法執行機関の取り組みの進化する有効性を示しています。