연구(Insikt)

라다만티스 스틸러(Rhadamanthys Stealer), 버전 0.7.0에 혁신적인 AI 기능 추가

게시일: 2024년 9월 26일

작성자: Insikt Group®

라다만티스 스틸러(Rhadamanthys Stealer), 버전 0.7.0에 혁신적인 AI 기능 추가

요약

2022년에 처음 확인된 최첨단 정보 탈취 기법인 라다만티스는 이미지에서 암호화폐 시드 문구를 추출하는 AI 기반 기능을 도입한 0.7.0 버전이 출시되는 등 빠른 업데이트를 거쳤습니다. 이 멀웨어는 MSI 설치 프로그램으로 위장하는 등 정교한 회피 기술을 사용하여 자격 증명, 시스템 정보 및 금융 데이터를 표적으로 삼습니다. 이 멀웨어는 특정 지역을 표적으로 삼아 금지되었음에도 불구하고 지하 포럼에서 계속 판매되고 있습니다. 완화 전략에는 뮤텍스 기반 킬 스위치와 스노트(Snort) 및 시그마(Sigma) 규칙 등 다양한 탐지 기법이 포함됩니다.

라다만티스 스틸러(Rhadamanthys Stealer), 버전 0.7.0에 혁신적인 AI 기능 추가

2022년에 처음 확인된 최첨단 정보 탈취 기법인 라다만티스는 사이버 범죄 지형에서 가장 강력한 도구 중 하나로 빠르게 진화했습니다. 이 멀웨어는 러시아와 구소련 내의 기관을 표적으로 삼아 지하 포럼에서 금지되었음에도 불구하고 여전히 활동적이고 위험하며, 30일 라이선스에 250달러부터 시작하는 가격으로 판매되고 있습니다.

Insikt Group의 라다만티스 스틸러(Rhadamanthys Stealer) v0.7.0에 대한 최신 분석은 광학 문자 인식(OCR)을 위한 인공 지능(AI) 사용 등 새로운 최첨단 기능을 강조합니다. 라다만티스는 이러한 기능을 통해 이미지에서 암호화폐 지갑 시드 문구를 추출할 수 있으므로 암호화폐를 거래하는 모든 사람에게 매우 강력한 위협이 될 수 있습니다. 이 멀웨어는 클라이언트 측에서 시드 문구 이미지를 인식하고, 명령 및 제어(C2) 서버로 다시 전송해 추가로 악용할 수 있습니다.

또한, 이 멀웨어는 기존 탐지 시스템에서 신뢰할 수 있는 것으로 간주되는 MSI(Microsoft Software Installer) 파일을 사용하는 방어 회피 기법을 도입했습니다. 이 방법을 사용하면 공격자가 보안 프로토콜에서 즉각적인 위험 신호를 발생시키지 않고도 악성 페이로드를 실행할 수 있습니다.

주요 특징 및 기능:

1. 자격 증명 및 데이터 도난: 라다만티스는 브라우저의 자격 증명, 시스템 정보, 쿠키, 암호화폐 지갑 및 애플리케이션 데이터를 포함한 광범위한 민감한 정보를 대상으로 합니다. 라다만티스는 적응력이 뛰어나며 손상된 시스템에서 추가적으로 악성 활동을 수행할 수 있도록 다양한 확장 기능을 지원합니다.

2. AI 기반 이미지 인식: 버전 0.7.0의 가장 뛰어난 기능은 OCR 기술의 통합입니다. 라다만티스는 이러한 혁신으로 이미지에서 자동으로 암호화폐 지갑 시드 문구를 추출할 수 있으며, 이를 통해 AI를 이런 방식으로 사용하는 최초의 스틸러 중 하나가 되었습니다. 이 멀웨어는 감염된 컴퓨터에서 시드 문구가 포함된 이미지를 감지하고 추가 처리를 위해 이를 C2 서버로 전송합니다.

3. MSI 설치 프로그램을 통한 회피: 이제 공격자는 탐지를 회피하기 위해 라다만티스를 사용하여 일반적으로 합법적인 소프트웨어 설치와 관련된 MSI 패키지를 사용해 멀웨어를 배포할 수 있습니다. 공격자는 이 방법을 활용하여 MSI 파일을 악성으로 표시하지 않는 수많은 기존 탐지 시스템을 우회할 수 있습니다.

증가하는 위협

라다만티스는 사용 편의성과 지속적인 업데이트로 인해 점점 더 인기를 얻고 있습니다. 라다만티스는 Exploit 및 XSS와 같은 다크 웹 포럼에서 공개적으로 판매되며, 특히 암호화폐 지갑과 사용자 자격 증명에 중점을 두고 북미와 남미 지역을 적극적으로 표적으로 삼고 있습니다.

"kingcrete2022"라는 가명으로 알려진 이 멀웨어의 개발자는 러시아 기관을 표적으로 삼았다는 혐의로 일부 지하 포럼에서 사용 금지 조치를 당한 바 있습니다. 그러나 이 조치도 이들의 활동을 막지 못했으며, TOX 및 Telegram과 같은 개인 메시징 플랫폼을 통해 라다만티스를 계속 광고하고 있습니다.

완화 전략

Insikt Group은 라다만티스가 시스템에서 실행되는 것을 방지하기 위해 몇 가지 탐지 전략과 '킬 스위치'를 개발했습니다.

1. 뮤텍스 기반 킬 스위치: 조직은 알려진 라다만티스 뮤텍스를 감염되지 않은 시스템에 설정하여 멀웨어가 스틸러 및 확장 프로그램을 실행하지 못하도록 차단하는 킬 스위치를 만들 수 있습니다. 이것은 현재 라다만티스 감염에 대비해 시스템에 백신을 접종하는 사전 예방적 방법입니다.

2. 최첨단 탐지 규칙: Insikt Group은 라다만티스 활동을 식별하기 위해 시그마(Sigma), 스노트(Snort) 및 YARA 탐지 규칙을 개발했습니다. 이러한 규칙은 무엇보다도 멀웨어의 MSI 파일 실행 및 재실행 지연 기능 등을 대상으로 하며, 보안팀이 이렇게 진화하는 위협에 대응할 기회를 제공합니다.

3. 엔드포인트 보호: 엔드포인트 탐지 및 대응(EDR) 솔루션을 배포하고 시스템 전체에 최소 권한 액세스를 구현하는 것은 라다만티스로부터 시스템을 보호하는 데 매우 중요합니다. 민감한 시스템에 액세스할 때 다단계 인증(MFA)을 사용하면 자격 증명 도난의 영향을 줄이는 데 도움이 될 수 있습니다.

전망

라다만티스는 빠른 속도로 계속 발전하고 있으며 다음 버전(0.8.0)이 이미 개발 중입니다. 시드 문구 추출과 같은 AI 기능의 도입은 머신 러닝을 활용하여 효율성을 높이는 정보 스틸러의 미래를 엿볼 수 있는 사례입니다. 현재의 방어 전략은 라다만티스 v0.7.0에 효과적이지만, 향후 버전에는 훨씬 더 진보된 기능이 포함될 가능성이 있으므로 탐지 기술을 지속적으로 업데이트할 필요가 있습니다.

전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.