Rhadamanthys olarak bilinen bilgi hırsızı kötü amaçlı yazılımın geliştiricileri, özelliklerini aktif olarak yineliyor, bilgi toplama yeteneklerini genişletiyor ve ayrıca onu daha özelleştirilebilir hale getirmek için bir eklenti sistemi ekliyor.
Check Point, bu yaklaşımın onu “özel distribütör ihtiyaçlarını” karşılayabilecek bir tehdide dönüştürmekle kalmayıp aynı zamanda daha güçlü hale getirdiğini belirtiyor. söz konusu Geçen hafta yayınlanan teknik bir derinlemesine incelemede.
Rhadamanthys, ilk belgelenen Ekim 2022’de ThreatMon tarafından, “kingcrete2022” takma adı altında bir aktör tarafından Eylül 2022 gibi erken bir tarihte hizmet olarak kötü amaçlı yazılım (MaaS) modeli altında satıldı.
Genellikle Google reklamları aracılığıyla reklamı yapılan orijinal yazılımları yansıtan kötü amaçlı web siteleri aracılığıyla dağıtılan kötü amaçlı yazılım, web tarayıcıları, kripto cüzdanları, e-posta istemcileri, VPN ve anlık mesajlaşma uygulamaları da dahil olmak üzere güvenliği ihlal edilmiş ana bilgisayarlardan çok çeşitli hassas bilgileri toplama kapasitesine sahiptir. .
Yapay Zeka Destekli Tehditleri Sıfır Güvenle Yenmek – Güvenlik Profesyonelleri için Web Semineri
Günümüz dünyasında geleneksel güvenlik önlemleri bunu kesmeyecektir. Şimdi Sıfır Güven Güvenliği zamanı. Verilerinizi daha önce hiç olmadığı gibi koruyun.
İsrailli siber güvenlik firması, “Rhadamanthys, mümkün olduğunca fazlasını yapmaya çalışan, yeni ortaya çıkan kötü amaçlı yazılım geleneğinde bir adımı temsil ediyor ve aynı zamanda kötü amaçlı yazılım işinde güçlü bir markaya sahip olmanın her şey olduğunun bir göstergesi.” kayıt edilmiş Mart 2022’de.
A sonraki soruşturma Ağustos ayında kullanıma hazır kötü amaçlı yazılımla ilgili “tasarım ve uygulama”nın, Gizli Arı madeni para madencisi.
Araştırmacılar, “Benzerlik pek çok düzeyde açıkça görülüyor: özel yürütülebilir formatlar, benzer sanal dosya sistemlerinin kullanımı, bazı bileşenlere giden özdeş yollar, yeniden kullanılan işlevler, steganografinin benzer kullanımı, LUA komut dosyalarının kullanımı ve genel olarak benzer tasarım.” dedi. , kötü amaçlı yazılımın gelişimini “hızlı tempolu ve devam eden” olarak tanımlıyor.
Yazım itibarıyla Rhadamanthys’in mevcut çalışma sürümü 0.5.2’dir. Tanım tehdit aktörünün Telegram kanalında.
Check Point’in 0.5.0 ve 0.5.1 sürümlerine ilişkin analizi, onu daha çok bir İsviçre Çakısı’na dönüştüren yeni bir eklenti sistemini ortaya çıkarıyor; bu da modülerleştirme ve kişiselleştirmeye doğru bir değişime işaret ediyor. Bu aynı zamanda hırsız müşterilerin hedeflerine göre uyarlanmış ek araçlar kullanmalarına da olanak tanır.
Çalma bileşenleri hem aktif olup, bilgi hırsızlığını kolaylaştırmak için tasarlanmış işlemleri açma ve ek yükler ekleme kapasitesine sahiptir, hem de kayıtlı kimlik bilgilerini almak için belirli dosyaları aramak ve ayrıştırmak üzere tasarlanmış pasif bileşenlerdir.
Göze çarpan diğer bir husus, kripto para birimi cüzdanlarından, e-posta aracılarından, FTP hizmetlerinden, not alma uygulamalarından, anlık mesajlaşma programlarından, VPN’lerden, iki faktörlü kimlik doğrulamadan mümkün olduğunca fazla bilgi çalmak için 100’e kadar Lua komut dosyası yükleyebilen bir Lua komut dosyası çalıştırıcısının kullanılmasıdır. uygulamalar ve şifre yöneticileri.
Sürüm 0.5.1 bir adım daha ileri giderek, kripto para birimi ödemelerini saldırgan kontrollü bir cüzdana yönlendirmek için pano verilerini eşleşen cüzdan adresleriyle değiştiren kesme işlevi ve Lumma Stealer’ın izinden giderek Google Hesabı çerezlerini kurtarma seçeneği ekliyor.
Güvenlik araştırmacısı Aleksandra “Hasherezade” Doniec, “Yazar, bir distribütör tarafından oluşturulan birden fazla uzantıyı yüklemesine olanak tanıyarak, onu yalnızca bir hırsız değil aynı zamanda çok amaçlı bir bot haline getirerek mevcut özellikler kümesini zenginleştirmeye devam ediyor” dedi.
“Keylogger ve sistem hakkında bilgi toplama gibi eklenen özellikler de sistemi genel amaçlı bir casus yazılım haline getirme yolunda atılmış bir adımdır.”
AsyncRAT’ın aspnet_compiler.exe’ye Kod Enjeksiyonu
Bulgular, Trend Micro’nun, uzaktan erişim truva atını (RAT) gizlice dağıtmak için ASP.NET web uygulamalarını önceden derlemek için kullanılan aspnet_compiler.exe adı verilen meşru bir Microsoft işleminden yararlanan yeni AsyncRAT enfeksiyon zincirlerini ayrıntılı olarak ortaya koymasıyla ortaya çıktı. Kimlik avı saldırıları.
Rhadamanthys’in çalışan süreçlere kod enjeksiyonu gerçekleştirmesine benzer şekilde, çok aşamalı süreç, AsyncRAT yükünün yeni oluşturulan bir aspnet_compiler.exe sürecine enjekte edilmesi ve sonuçta bir komuta ve kontrol (C2) sunucusuyla bağlantı kurulmasıyla sonuçlanır.
Güvenlik araştırmacıları Buddy Tancio, Fe Cureg ve Maria Emreen Viray, “AsyncRAT arka kapısının gömülü konfigürasyona bağlı olarak başka yetenekleri de var” dedi. “Bu, hata ayıklamayı önleme ve analiz kontrollerini, kalıcılık kurulumunu ve tuş kaydetmeyi içerir.”
Ayrıca, kripto cüzdanlarının varlığını kontrol etmek için uygulama dizini içindeki belirli klasörleri, tarayıcı uzantılarını ve kullanıcı verilerini taramak üzere tasarlanmıştır. Üstelik tehdit aktörlerinin Dinamik DNS’e (DDNS) kasıtlı olarak faaliyetlerini gizlemek.
Araştırmacılar, “Dinamik ana bilgisayar sunucularının kullanılması, tehdit aktörlerinin IP adreslerini sorunsuz bir şekilde güncellemelerine olanak tanıyarak sistem içinde tespit edilmeden kalma yeteneklerini güçlendiriyor” dedi.