>
Insiktレポート

Rhadamanthys Stealerがバージョン0.7.0で革新的なAI機能を追加

投稿: 2024年9月26日
作成者 : Insikt Group®

insikt-group-logo-updated-3-300x48.png

概要

2022年に初めて確認された高度な情報窃盗マルウェアRhadamanthysでは、バージョン0.7.0で画像から暗号通貨のシードフレーズを抽出するAI主導の機能を導入するなど、急速なアップデートが行われています。このマルウェアは、MSIインストーラーの偽装などの高度な回避手法を使用して、資格情報、システム情報、財務データを狙います。特定の地域を標的にしたことから禁止されているにもかかわらず、引き続き地下フォーラムで販売されています。緩和戦略には、ミューテックスベースのキルスイッチや、SnortやSigmaルールなどのさまざまな検出技術が含まれます。


Rhadamanthys Stealerがバージョン0.7.0で革新的なAI機能を追加

2022年に初めて特定された高度な情報窃取型マルウェアであるRhadamanthysは、サイバー犯罪者の世界で最も手強いツールの1つに急速に進化しています。ロシアと旧ソ連内の組織を標的としたとして地下フォーラムで禁止されているにもかかわらず、このマルウェアは依然として活発かつ危険であり、30日間のライセンスが250ドルからという価格で販売されています。

Insikt GroupによるRhadamanthys Stealer v0.7.0の最新の分析では、光学文字認識(OCR)用の人工知能(AI)の使用など、高度な機能の追加が目立ちます。 これにより、Rhadamanthysは画像から暗号通貨ウォレットのシードフレーズを抽出することができるため、暗号通貨を扱う人にとって非常に強力な脅威となります。マルウェアは、クライアント側でシードフレーズ画像を認識し、コマンドアンドコントロール(C2)サーバーに送り返して、さらに悪用することができます。

さらに、このマルウェアは、従来の検知システムでは信頼できるとみなされがちなMicrosoft Software Installer(MSI)ファイルを使用した防御回避テクニックを導入しています。この方法により、攻撃者はセキュリティプロトコルですぐに危険信号を発生させることなく、悪意のあるペイロードを実行できます。

主な機能と特徴:

1. 資格情報とデータの盗難:Rhadamanthysは、ブラウザの認証情報、システム情報、Cookie、暗号通貨ウォレット、アプリケーションデータなど、幅広い機密情報を標的にしています。適応性が高く、侵害されたシステム上での追加の悪意のあるアクティビティに対するさまざまな拡張機能をサポートします。

2. AIによる画像認識:バージョン0.7.0の特筆すべき機能は、OCR技術の統合です。この技術革新により、Rhadamanthysは画像から暗号通貨ウォレットのシードフレーズを自動的に抽出することができるようになり、この方法でAIを使用する最初の窃盗ツールの1つとなりました。マルウェアは、感染したマシンでシードフレーズを含む画像を検出し、C2サーバーに流出させてさらに処理します。

3. MSIインストーラーによる回避:Rhadamanthysでは、攻撃者が検出を回避するために、通常は正規のソフトウェアインストールに関連するMSIパッケージを使用してマルウェアを展開できるようにしています。この方法を利用することで、攻撃者はMSIファイルを悪意のあるものとしてフラグ付けしない従来の多くの検出システムを回避できます。

増大する脅威

Rhadamanthysは、その使いやすさと継続的なアップデートにより、ますます人気が高まっています。このマルウェアは、ExploitやXSSなどのダークウェブフォーラムで公然と販売されており、特に暗号通貨ウォレットとユーザーの認証情報に重点を置いて、南北アメリカ地域を積極的に狙っています。

このマルウェアの開発者は「kingcrete2022」という偽名で知られており、ロシアの団体を標的にした疑いがあるとして、いくつかの地下フォーラムで禁止措置を受けています。しかし、TOXやTelegramなどのプライベートメッセージングプラットフォームを通じてRhadamanthysの宣伝が継続されており、こうした禁止により活動が阻止されてはいないようです。

緩和戦略

Insikt Groupは、いくつかの検出戦略と、Rhadamanthysがシステムで実行されるのを防ぐための「キルスイッチ」を開発しました。

1. ミューテックスベースのキルスイッチ:感染していないマシンに既知のRhadamanthysミューテックスを設定することで、組織はマルウェアがスティーラーや拡張機能を実行するのを防ぐキルスイッチを作成できます。これは、現在のRhadamanthys感染に対してシステムを予防的にワクチン接種する方法です。

2. 高度な検出ルール:Insikt Groupは、Rhadamanthysの活動を特定するために、Sigma、Snort、YARAの検出ルールを開発しました。これらのルールは、マルウェアのMSIファイルの実行や再実行の遅延機能などをターゲットとしており、セキュリティチームがこの進化する脅威に対して対抗できるようにします。

3. エンドポイント保護:Rhadamanthysに対する保護では、エンドポイント検出および応答(EDR)ソリューションを展開し、システム間で最小特権アクセスを実装することが重要です。機密システムへのアクセスに多要素認証(MFA)を確実に適用すると、資格情報の盗難による影響を軽減できます。

今後の展望

Rhadamanthysは速いペースで進化を続けており、次のバージョン(0.8.0)はすでに開発中です。シードフレーズ抽出などのAI機能の導入からは、情報窃盗ソフトウェアが機械学習を活用してその効果を高める未来を垣間見ることができます。現在の緩和戦略はRhadamanthys v0.7.0に対して効果的ですが、将来のバージョンにはさらに高度な機能が含まれる可能性が高く、検出技術の継続的な更新が必要になります。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

関連