Rhadamanthys 是 2022 年首次发现的高级信息窃取者,目前经历了快速更新,版本0.7.0 引入了人工智能驱动的功能,用于从图像中提取加密货币种子短语。该恶意软件使用 MSI 安装程序伪装等复杂的规避技术,以凭据、系统信息和财务数据为目标。尽管禁止针对特定区域,但该恶意软件仍在地下论坛上继续销售。缓解策略包括基于互斥体的终止开关和各种检测技术,例如 Snort 和 Sigma 规则。
Rhadamanthys,一种高级信息该窃取程序于 2022 年首次被发现,现已迅速发展成为网络犯罪领域最强大的工具之一。尽管地下论坛禁止针对俄罗斯和前苏联境内的实体,但该恶意软件仍然活跃且危险,30 天许可证的售价为 250 美元起。
Insikt Group 对 Rhadamanthys Stealer v0 的最新分析.7.0 强调了其新的和先进的功能,包括使用人工智能 (AI) 进行光学字符识别 (OCR)。这使得拉达曼蒂斯能够从图像中提取加密货币钱包种子短语,从而对任何从事加密货币交易的人构成高度潜在的威胁。该恶意软件可以识别客户端的种子短语图像,并将其发送回命令与控制 (C2) 服务器以供进一步利用。
此外,该恶意软件还引入了使用 Microsoft 软件的防御规避技术安装程序 (MSI) 文件,通常被传统检测系统视为值得信赖。此方法允许攻击者执行恶意负载,而不会在安全协议中立即引发危险信号。
1.凭据和数据盗窃:Rhadamanthys 的目标是广泛的敏感信息,包括来自浏览器的凭据、系统信息、cookie、加密货币钱包和应用程序数据。它具有很强的适应性,支持针对受感染系统上的其他恶意活动的各种扩展。
2.人工智能图像识别:0.7.0版本的突出特点是集成了OCR技术。这项创新使 Rhadamanthys 能够自动从图像中提取加密货币钱包种子短语,使其成为首批以这种方式使用人工智能的窃取者之一。该恶意软件会在受感染的计算机上检测到包含助记词的图像,并将其渗透到 C2 服务器以进行进一步处理。
3.通过 MSI 安装程序进行规避:为了逃避检测,Rhadamanthys 现在允许攻击者使用 MSI 包(通常与合法软件安装相关)部署恶意软件。通过利用这种方法,攻击者可以绕过许多不会将 MSI 文件标记为恶意的传统检测系统。
Rhadamanthys 由于其易用性和安全性而变得越来越流行。不断更新。该恶意软件在 Exploit 和 XSS 等暗网论坛上公开出售,一直积极针对北美和南美地区,特别关注加密货币钱包和用户凭据。
恶意软件开发者的别名为kingcrete2022 因涉嫌针对俄罗斯实体而面临一些地下论坛的禁令。然而,这并没有阻止他们的活动,因为他们继续通过 TOX 和 Telegram 等私人消息平台为 Rhadamanthys 做广告。
Insikt Group 开发了多种检测策略,甚至还开发了一种“终止开关”以阻止Rhadamanthys 在系统上执行。
1.基于互斥体的终止开关:通过在未受感染的计算机上设置已知的 Rhadamanthys 互斥体,组织可以创建一个终止开关,以防止恶意软件运行其窃取程序和扩展。这是一种主动方式,为系统接种疫苗以预防当前的 Rhadamanthys 感染。
2.高级检测规则:Insikt Group 开发了 Sigma、Snort 和 YARA 检测规则来识别 Rhadamanthys 活动。这些规则针对恶意软件 MSI 文件执行和重新执行延迟功能等,为安全团队提供对抗这种不断演变的威胁的机会。
3.端点保护:部署端点检测和响应 (EDR) 解决方案并跨系统实施最低权限访问对于防御 Rhadamanthys 至关重要。确保对敏感系统的访问进行多重身份验证 (MFA) 有助于减轻凭据被盗的影响。
Rhadamanthys 继续快速发展,下一版本将推出(0.8.0) 已经在开发中。人工智能功能(例如助记词提取)的引入,让我们得以一睹信息窃取者利用机器学习来提高其效率的未来。虽然当前的缓解策略对 Rhadamanthys v0.7.0 有效,但未来的版本可能会包含更高级的功能,因此需要不断更新检测技术。
要阅读整个分析,请单击此处下载报告PDF 格式。
相关研究 (Insikt)