Geride tehdit oyuncusu Rhadamanthys diğerleri arasında, amiral gemisi bilgi stealer’ı güncellenmiş olsa bile, web sitelerinde Elysium Proxy bot ve crypt hizmeti adı verilen iki aracı da tanıttı.
“Rhadamanthys başlangıçta siber suç forumlarındaki görevlerle tanıtıldı, ancak yakında yazarın potansiyel müşterilerle bağlantı kurmak ve görünürlük oluşturmak için daha iddialı bir planı olduğu anlaşıldı.
İlk olarak Kingcrete2022 adlı bir tehdit oyuncusu tarafından ilan edilen Rhadamanthys, Lumma, Vidar, Stealc ve daha yakın zamanda akred ile birlikte bir Hizmet Olarak Kötü Yazılım (MAAS) modeli altında bulunan en popüler bilgi çalıcılarından biri olarak ortaya çıktı. Stealer’ın mevcut sürümü 0.9.2’dir.
Yıllar geçtikçe, stealer’ın yetenekleri, kişisel ve kurumsal güvenlik için kapsamlı bir tehdidi temsil eden basit veri toplamanın çok ötesine geçti. Geçen Ekim ayında kötü amaçlı yazılımların 0.7.0 sürümünün bir analizinde, geleceğe kaydetti, kripto para birimi cüzdan tohumu ifadelerini yakalamak için optik karakter tanıma (OCR) için yeni bir yapay zeka (AI) özelliğinin eklenmesini ayrıntılı olarak kaydetti.
Check Point’in son bulguları, tehdit aktörlerinin kendilerini “Rhad Güvenliği” ve “Efsanevi Köken Laboratuarları” olarak yeniden markaladıklarını ve tekliflerini “yenilik ve verimlilik için akıllı çözümler” olarak pazarladığını gösteriyor.
Rhadamanthys, kendi kendine barındırılan bir sürüm için ayda 299 $ ‘dan başlayan ve öncelikli teknik destek, sunucu ve gelişmiş API erişimi de dahil olmak üzere ek avantajlarla birlikte gelen üç katmanlı pakette mevcuttur. Potansiyel müşteriler ayrıca satış ekibine doğrudan iletişime geçerek bir işletme planı satın alabilirler.
HashereZade, “Marka, ürün portföyü ve fiyatlandırma yapısının birleşimi, yazarların Rhadamanthys’e bir yan proje yerine uzun vadeli bir iş girişimi olarak davrandıklarını göstermektedir.” “Savunucular için, bu profesyonelleştirme, büyüyen müşteri tabanı ve genişleyen bir ekosistem ile Rhadamanthys’in kalması muhtemel olduğuna işaret ediyor, bu da sadece kötü amaçlı yazılım güncellemelerini değil, aynı zamanda onu sürdüren iş altyapısını da izlemeyi önemli hale getiriyor.”
Lumma sürüm 4.0 gibi, Rhadamanthys sürüm 0.9.2, kullanıcıya çalıştığı makineye herhangi bir zarar vermeden kötü amaçlı yazılımın yürütülmesini bitirmelerini sağlayan bir uyarı göstererek paketlenmemiş eserleri sızdırmaktan kaçınmak için bir özellik içerir.
Bu, kötü amaçlı yazılım distribütörlerinin, algılama çabalarını kısıtlamak ve sistemlerini süreçte enfekte etmek için ilk yürütülebilir dosyayı düz, korunmasız formda yaymasını önlemek amacıyla yapılır. Bununla birlikte, uyarı mesajı her iki stealer’da da aynı olsa da, uygulama tamamen farklıdır, Check Point, “yüzey seviyesi taklit” önererek.
“Lumma’da dosyanın açılması ve okunması RAW Syscalls aracılığıyla uygulanır ve mesaj kutusu NtreaHarderror üzerinden yürütülür.” “Rhadamanthys’de ham syscall’lar kullanılmıyor ve aynı mesaj kutusu MessageBoxw tarafından görüntüleniyor. Her iki yükleyici dehşete kapılır, ancak şaşkınlık modelleri farklıdır.”
Rhadamanthys ile ilgili diğer güncellemeler, yürütülebilir modülleri göndermek için kullanılan özel XS formatında hafif ayarlar, kötü amaçlı yazılımın ana bilgisayarda yürütülmesini sürdürüp sürdürmeyeceğini doğrulamak için yürütülen kontroller ve içine gömülü gizlenmiş yapılandırmayı ile ilgilidir. Modifikasyonlar ayrıca radarın altında uçmak için modüllerin adlarını gizlemeye kadar uzanır.
Daha önce strateji olarak adlandırılan modüllerden biri, kum havuzu ortamında çalışmadığından emin olmak için bir dizi ortam kontrolünden sorumludur. Ayrıca, çalıştırma işlemlerini yasak olanların bir listesine göre kontrol eder, mevcut duvar kağıdını alır ve triyaj sanal alanını temsil eden sert kodlanmış birine karşı doğrular.
Ayrıca, geçerli kullanıcı adının kum havuzları için kullanılanlara benzeyen herhangi bir şeyle eşleşip eşleşmediğini doğrulamak için bir kontrol çalıştırır ve makinenin HWID’ini (donanım tanımlayıcısını) bir kum havuzunun varlığını tespit etmek için bir kez daha önceden tanımlanmış bir listeyle karşılaştırır. Yalnızca tüm bu kontroller geçtiğinde, numune, stealer’ın temel bileşenini almak için bir komut ve kontrol (C2) sunucusu ile bağlantı kurmaya devam eder.
Yük, bir WAV, JPEG veya PNG dosyası olarak steganografik teknikler kullanılarak gizlenir, buradan çıkarıldığı, şifre kaldırıldığı ve başlatıldığı. Paketin PNG’den şifresini çözmenin, C2 iletişiminin ilk aşamasında kararlaştırılan ortak bir sır gerektirdiğini belirtmek gerekir.
Stealer modülü, kendi adına, veri hırsızlığını kolaylaştırmak ve kapsamlı cihaz ve tarayıcı parmak izi yapmak için programlama dilinde yazılmış ek eklentiler sunan yerleşik bir LUA koşucusu ile donatılmıştır.
Check Point, “En son varyant bir devrimden ziyade bir devrimden ziyade bir evrimi temsil ediyor. Analistler yapılandırma ayrıştırıcılarını güncellemeli, PNG tabanlı yük sunumunu izlemeli, muteks ve bot kimliği formatlarındaki değişiklikleri izlemeli ve takımların yakalanmasıyla birlikte daha fazla çalkalanmayı beklemeli” dedi.
“Şu anda, geliştirme daha yavaş ve daha istikrarlı: Çekirdek tasarım sağlam kalıyor, değişiklikler ile yeni stealer bileşenleri, gizlemedeki değişiklikler ve daha gelişmiş özelleştirme seçenekleri gibi değişiklikler.”