Rhadamanthys olarak bilinen bilgi hırsızı kötü amaçlı yazılımın geliştiricileri, özelliklerini aktif olarak yineliyor, bilgi toplama yeteneklerini genişletiyor ve ayrıca onu daha özelleştirilebilir hale getirmek için bir eklenti sistemi ekliyor.
Check Point, geçen hafta yayınlanan teknik bir derinlemesine incelemede, bu yaklaşımın onu yalnızca “özel distribütör ihtiyaçlarını” karşılayabilecek bir tehdide dönüştürmekle kalmayıp aynı zamanda onu daha güçlü hale getirdiğini söyledi.
İlk olarak Ekim 2022’de ThreatMon tarafından belgelenen Rhadamanthys, Eylül 2022 gibi erken bir tarihte “kingcrete2022” takma adı altında bir aktör tarafından hizmet olarak kötü amaçlı yazılım (MaaS) modeli kapsamında satıldı.
Genellikle Google reklamları aracılığıyla reklamı yapılan orijinal yazılımları yansıtan kötü amaçlı web siteleri aracılığıyla dağıtılan kötü amaçlı yazılım, web tarayıcıları, kripto cüzdanları, e-posta istemcileri, VPN ve anlık mesajlaşma uygulamaları da dahil olmak üzere güvenliği ihlal edilmiş ana bilgisayarlardan çok çeşitli hassas bilgileri toplama kapasitesine sahiptir. .
Yapay Zeka Destekli Tehditleri Sıfır Güvenle Yenmek – Güvenlik Profesyonelleri için Web Semineri
Günümüz dünyasında geleneksel güvenlik önlemleri bunu kesmeyecektir. Şimdi Sıfır Güven Güvenliği zamanı. Verilerinizi daha önce hiç olmadığı gibi koruyun.
Şimdi Katıl
İsrailli siber güvenlik firması Mart 2022’de “Rhadamanthys, yeni ortaya çıkan kötü amaçlı yazılım geleneğinde mümkün olan en iyisini yapmaya çalışan bir adımı temsil ediyor ve aynı zamanda kötü amaçlı yazılım işinde güçlü bir markaya sahip olmanın her şey olduğunun bir göstergesidir.” dedi.
Ağustos ayında kullanıma hazır kötü amaçlı yazılımla ilgili daha sonra yapılan bir araştırma, “tasarım ve uygulamanın” Hidden Bee madeni para madencisininkiyle örtüştüğünü ortaya çıkardı.
Araştırmacılar, “Benzerlik pek çok düzeyde açıkça görülüyor: özel yürütülebilir formatlar, benzer sanal dosya sistemlerinin kullanımı, bazı bileşenlere giden özdeş yollar, yeniden kullanılan işlevler, steganografinin benzer kullanımı, LUA komut dosyalarının kullanımı ve genel olarak benzer tasarım.” dedi. , kötü amaçlı yazılımın gelişimini “hızlı tempolu ve devam eden” olarak tanımlıyor.
Tehdit aktörünün Telegram kanalındaki açıklamaya göre, bu yazının yazıldığı an itibarıyla Rhadamanthys’in mevcut çalışma sürümü 0.5.2’dir.
Check Point’in 0.5.0 ve 0.5.1 sürümlerine ilişkin analizi, onu daha çok bir İsviçre Çakısı’na dönüştüren yeni bir eklenti sistemini ortaya çıkarıyor; bu da modülerleştirme ve kişiselleştirmeye doğru bir değişime işaret ediyor. Bu aynı zamanda hırsız müşterilerin hedeflerine göre uyarlanmış ek araçlar kullanmalarına da olanak tanır.
Çalma bileşenleri hem aktif olup, bilgi hırsızlığını kolaylaştırmak için tasarlanmış işlemleri açma ve ek yükler ekleme kapasitesine sahiptir, hem de kayıtlı kimlik bilgilerini almak için belirli dosyaları aramak ve ayrıştırmak üzere tasarlanmış pasif bileşenlerdir.
Göze çarpan diğer bir husus, kripto para birimi cüzdanlarından, e-posta aracılarından, FTP hizmetlerinden, not alma uygulamalarından, anlık mesajlaşma programlarından, VPN’lerden, iki faktörlü kimlik doğrulamadan mümkün olduğunca fazla bilgi çalmak için 100’e kadar Lua komut dosyası yükleyebilen bir Lua komut dosyası çalıştırıcısının kullanılmasıdır. uygulamalar ve şifre yöneticileri.
Sürüm 0.5.1 bir adım daha ileri giderek, kripto para birimi ödemelerini saldırgan kontrollü bir cüzdana yönlendirmek için pano verilerini eşleşen cüzdan adresleriyle değiştiren kesme işlevi ve Lumma Stealer’ın izinden giderek Google Hesabı çerezlerini kurtarma seçeneği ekliyor.
Güvenlik araştırmacısı Aleksandra “Hasherezade” Doniec, “Yazar, bir distribütör tarafından oluşturulan birden fazla uzantıyı yüklemesine olanak tanıyarak, onu yalnızca bir hırsız değil aynı zamanda çok amaçlı bir bot haline getirerek mevcut özellikler kümesini zenginleştirmeye devam ediyor” dedi.
“Keylogger ve sistem hakkında bilgi toplama gibi eklenen özellikler de sistemi genel amaçlı bir casus yazılım haline getirme yolunda atılmış bir adımdır.”
AsyncRAT’ın aspnet_compiler.exe’ye Kod Enjeksiyonu
Bulgular, Trend Micro’nun, uzaktan erişim truva atını (RAT) kimlik avı saldırıları yoluyla gizlice dağıtmak için ASP.NET web uygulamalarını önceden derlemek için kullanılan aspnet_compiler.exe adlı meşru bir Microsoft işleminden yararlanan yeni AsyncRAT enfeksiyon zincirlerini ayrıntılı olarak ortaya koymasıyla ortaya çıktı.
Rhadamanthys’in çalışan süreçlere kod enjeksiyonu gerçekleştirmesine benzer şekilde, çok aşamalı süreç, AsyncRAT yükünün yeni oluşturulan bir aspnet_compiler.exe sürecine enjekte edilmesi ve sonuçta bir komuta ve kontrol (C2) sunucusuyla bağlantı kurulmasıyla sonuçlanır.
Güvenlik araştırmacıları Buddy Tancio, Fe Cureg ve Maria Emreen Viray, “AsyncRAT arka kapısının gömülü konfigürasyona bağlı olarak başka yetenekleri de var” dedi. “Bu, hata ayıklamayı önleme ve analiz kontrollerini, kalıcılık kurulumunu ve tuş kaydetmeyi içerir.”
Ayrıca, kripto cüzdanlarının varlığını kontrol etmek için uygulama dizini içindeki belirli klasörleri, tarayıcı uzantılarını ve kullanıcı verilerini taramak üzere tasarlanmıştır. Üstelik tehdit aktörlerinin, faaliyetlerini kasıtlı olarak gizlemek için Dinamik DNS’ye (DDNS) güvendikleri gözlemlendi.
Araştırmacılar, “Dinamik ana bilgisayar sunucularının kullanılması, tehdit aktörlerinin IP adreslerini sorunsuz bir şekilde güncellemelerine olanak tanıyarak sistem içinde tespit edilmeden kalma yeteneklerini güçlendiriyor” dedi.