RHADAMANTHYS v0.5.0

RHADAMANTHYSは、インフォスティーラー型マルウェアです。
継続的に変更が行われていて、多くの活動が観測されています。
このマルウェアはC++で記述されていて、電子メール、FTP、オンラインバンキングサービスアカウントの資格情報を狙います。
最近の更新のいくつかについて見てみましょう。

• プラグインシステムの導入
  現在のバージョンは、0.5.0です。
  文字列から推測できるように、まだ若いマルウェアといえそうです。
  観測されたころから開発は活発だったようですが、現時点ではマルウェアの構造にプラグインシステムが追加されています。
  これにより開発速度は加速するでしょうし、機能拡張も容易になったのかもしれません。
  また、マルウェアを利用する側で考える場合、この機構は必要最低限のものだけを選択して展開できることになりますので、フットプリントの最小化という効能もあるのかもしれません。
• Data Spyプラグイン
  これは追加が確認されたプラグインです。
  RDPへのログインの試行を監視し、認証情報を取得します。
• 回避機能付きローダー
  このマルウェアは、ローダーモジュールの機能で初期動作を実現します。
  このローダー部分に、回避機能が追加されています。
  研究者によって解析が実施される場合、識別のために調査対象のマルウェアのファイル名をHASH値をもとにしたものに変更することがあります。
  このローダーでは、これを前提にした回避機構が搭載されています。
  自身のファイル名が16進数を構成する文字で16文字や32文字などHASHで想定される長さとなっている際に、実行を終了します。
• TLSの実装
  TLSといってもTransport Layer Securityではありません。
  ここでは、Thread Local Storageです。
  プログラムの中で使用する文字列を難読化したものをデコードする際に使われます。
  これまでこの機構がこの用途で使用される例はあまり確認されていません。

他にも多くの点が修正されています。
暗号通貨ウォレットを対象としたシステムの修正、Discordトークンの取得に関する修正、ブラウザからのデータ窃取の強化、ユーザーパネルの検索設定の更新、Telegram通知を変更するオプション、盛りだくさんです。

RHADAMANTHYSは、特定の脅威アクターが自分自身で使用するために作成しているものではありません。
ブラックマーケットでサービスとして販売されています。
継続的な開発で犯罪ツールとしての力が増してきています。
今後注目のマルウェアとして認識されていくものの一つになっていくのではないかと思えます。

参考記事（外部リンク）：RHADAMANTHYS V0.5.0 – A DEEP DIVE INTO THE STEALER’S COMPONENTS
research.checkpoint.com/2023/rhadamanthys-v0-5-0-a-deep-dive-into-the-stealers-components/