Rhadamanthys Stealer Evolves បន្ថែមការបោះពុម្ពស្នាមម្រាមដៃឧបករណ៍, PNG Steganography Payloads

តួអង្គគំរាមកំហែងនៅពីក្រោយ Rhadamanthys ក៏បានផ្សព្វផ្សាយឧបករណ៍ពីរផ្សេងទៀតដែលហៅថា Elysium Proxy Bot និង Crypt Service នៅលើគេហទំព័ររបស់ពួកគេ សូម្បីតែអ្នកលួចព័ត៌មានស្មាតហ្វូនត្រូវបានអាប់ដេតដើម្បីគាំទ្រសមត្ថភាពក្នុងការប្រមូលឧបករណ៍ និងស្នាមម្រាមដៃកម្មវិធីរុករកតាមអ៊ីនធឺណិត ក្នុងចំណោមឧបករណ៍ផ្សេងទៀត។

លោក Aleksandra "Hasherezade" Doniec អ្នកស្រាវជ្រាវ Check Point បាននិយាយនៅក្នុងរបាយការណ៍ថ្មីមួយថា "Rhadamanthys ត្រូវបានផ្សព្វផ្សាយដំបូងតាមរយៈការបង្ហោះនៅលើវេទិកាឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត ប៉ុន្តែភ្លាមៗនោះវាច្បាស់ណាស់ថាអ្នកនិពន្ធមានផែនការដ៏មហិច្ឆតាបន្ថែមទៀតដើម្បីភ្ជាប់ទំនាក់ទំនងជាមួយអតិថិជនសក្តានុពល និងបង្កើតភាពមើលឃើញ" ។

ផ្សព្វផ្សាយដំបូងដោយតួអង្គគំរាមកំហែងមួយដែលមានឈ្មោះថា kingcrete2022, Rhadamanthys បានលេចចេញជាអ្នកលួចព័ត៌មានដ៏ពេញនិយមបំផុតមួយដែលមាននៅក្រោមគំរូ malware-as-a-service (MaaS) រួមជាមួយ Lumma, Vidar, StealC និងថ្មីៗនេះ Acreed ។ កំណែបច្ចុប្បន្នរបស់អ្នកលួចគឺ 0.9.2 ។

ជាច្រើនឆ្នាំមកនេះ សមត្ថភាពរបស់អ្នកលួចបានពង្រីកលើសពីការប្រមូលទិន្នន័យសាមញ្ញ ដែលតំណាងឱ្យការគំរាមកំហែងយ៉ាងទូលំទូលាយដល់សន្តិសុខផ្ទាល់ខ្លួន និងសាជីវកម្ម។ នៅក្នុងការវិភាគនៃកំណែ 0.7.0 នៃមេរោគកាលពីខែតុលាឆ្នាំមុន Recorded Future បានរៀបរាប់លម្អិតអំពីការបន្ថែមមុខងារឆ្លាតវៃសិប្បនិម្មិត (AI) ថ្មីសម្រាប់ការទទួលស្គាល់តួអក្សរអុបទិក (OCR) ដើម្បីចាប់យកឃ្លាគ្រាប់ពូជកាបូប cryptocurrency ។

ការរកឃើញចុងក្រោយបំផុតពី Check Point បង្ហាញថាអ្នកគំរាមកំហែងបានប្តូរឈ្មោះខ្លួនឯងថាជា "សុវត្ថិភាព RHAD" និង "Mythical Origin Labs" ទីផ្សារការផ្តល់របស់ពួកគេថាជា "ដំណោះស្រាយឆ្លាតវៃសម្រាប់ការច្នៃប្រឌិត និងប្រសិទ្ធភាព"។

Rhadamanthys មាននៅក្នុងកញ្ចប់បីថ្នាក់ ដោយចាប់ផ្តើមពី $299 ក្នុងមួយខែសម្រាប់កំណែដែលបង្ហោះដោយខ្លួនឯងរហូតដល់ $499 ក្នុងមួយខែ ដែលភ្ជាប់មកជាមួយអត្ថប្រយោជន៍បន្ថែម រួមទាំងការគាំទ្រផ្នែកបច្ចេកទេសអាទិភាព ម៉ាស៊ីនមេ និងការចូលប្រើ API កម្រិតខ្ពស់។ អតិថិជនអនាគតក៏អាចទិញគម្រោងសហគ្រាសដោយទាក់ទងដោយផ្ទាល់ជាមួយក្រុមលក់របស់ពួកគេ។

Hasherezade បានកត់សម្គាល់ថា "ការរួមបញ្ចូលគ្នានៃម៉ាកយីហោ ផលប័ត្រផលិតផល និងរចនាសម្ព័ន្ធតម្លៃបង្ហាញថា អ្នកនិពន្ធចាត់ទុក Rhadamanthys ជាការបណ្តាក់ទុនអាជីវកម្មរយៈពេលវែងជាជាងគម្រោងចំហៀង" ។ "សម្រាប់អ្នកការពារ ជំនាញវិជ្ជាជីវៈនេះបង្ហាញឱ្យឃើញថា Rhadamanthys ជាមួយនឹងមូលដ្ឋានអតិថិជនដែលកំពុងកើនឡើង និងប្រព័ន្ធអេកូឡូស៊ីដែលកំពុងរីកចម្រើនទំនងជានៅទីនេះ ធ្វើឱ្យវាមានសារៈសំខាន់ក្នុងការតាមដានមិនត្រឹមតែអាប់ដេតមេរោគរបស់វាប៉ុណ្ណោះទេ ថែមទាំងហេដ្ឋារចនាសម្ព័ន្ធអាជីវកម្មដែលទ្រទ្រង់វាផងដែរ។"

ដូច Lumma កំណែ 4.0 ដែរ Rhadamanthys កំណែ 0.9.2 រួមបញ្ចូលមុខងារមួយដើម្បីជៀសវាងការលេចធ្លាយវត្ថុបុរាណដែលមិនបានវេចខ្ចប់ដោយបង្ហាញដល់អ្នកប្រើប្រាស់នូវការដាស់តឿនដែលអនុញ្ញាតឱ្យពួកគេបញ្ចប់ការប្រតិបត្តិនៃមេរោគដោយមិនបង្កគ្រោះថ្នាក់ដល់ម៉ាស៊ីនដែលវាកំពុងដំណើរការ។

វាត្រូវបានធ្វើដូច្នេះក្នុងគោលបំណងទប់ស្កាត់អ្នកចែកចាយមេរោគពីការរីករាលដាលនៃដំណើរការដំបូងដែលអាចប្រតិបត្តិបានក្នុងទម្រង់ធម្មតា និងមិនមានការការពារ ដើម្បីទប់ស្កាត់កិច្ចខិតខំប្រឹងប្រែងក្នុងការស្វែងរក ក៏ដូចជាធ្វើឱ្យប្រព័ន្ធរបស់ពួកគេឆ្លងមេរោគនៅក្នុងដំណើរការនេះ។ បាននិយាយថា ខណៈពេលដែលសារដាស់តឿនអាចដូចគ្នានៅក្នុងអ្នកលួចទាំងពីរ ការអនុវត្តគឺខុសគ្នាទាំងស្រុង។ Check Point បាននិយាយថា ដោយបង្ហាញពី "ការធ្វើត្រាប់តាមកម្រិតផ្ទៃ" ។

"នៅក្នុង Lumma ការបើក និងអានឯកសារត្រូវបានអនុវត្តតាមរយៈ syscalls ឆៅ ហើយប្រអប់សារត្រូវបានប្រតិបត្តិតាមរយៈ NtRaiseHardError"។ "នៅក្នុង Rhadamanthys, syscalls ឆៅមិនត្រូវបានប្រើទេ ហើយប្រអប់សារដូចគ្នាត្រូវបានបង្ហាញដោយ MessageBoxW ។ កម្មវិធីផ្ទុកទាំងពីរមានភាពច្របូកច្របល់ ប៉ុន្តែលំនាំនៃ obfuscation គឺខុសគ្នា។"

ការអាប់ដេតផ្សេងទៀតចំពោះ Rhadamanthys មានការព្រួយបារម្ភអំពីការកែប្រែបន្តិចបន្តួចចំពោះទម្រង់ XS ផ្ទាល់ខ្លួនដែលត្រូវបានប្រើដើម្បីដឹកជញ្ជូនម៉ូឌុលដែលអាចប្រតិបត្តិបាន ការត្រួតពិនិត្យដែលបានប្រតិបត្តិដើម្បីបញ្ជាក់ថាតើមេរោគគួរតែបន្តការប្រតិបត្តិរបស់វានៅលើម៉ាស៊ីន និងការកំណត់រចនាសម្ព័ន្ធមិនច្បាស់ដែលបានបង្កប់នៅក្នុងវា។ ការ​កែប្រែ​នេះ​ក៏​ពង្រីក​ដល់​ការ​បំភាន់​ឈ្មោះ​របស់​ម៉ូឌុល​ដែល​ត្រូវ​ហោះហើរ​ក្រោម​រ៉ាដា។

ម៉ូឌុលមួយក្នុងចំណោមម៉ូឌុលដែលពីមុនហៅថា យុទ្ធសាស្ត្រ គឺទទួលខុសត្រូវចំពោះការត្រួតពិនិត្យបរិស្ថានជាបន្តបន្ទាប់ ដើម្បីធានាថាវាមិនដំណើរការនៅក្នុងបរិស្ថានប្រអប់ខ្សាច់។ លើសពីនេះ វាពិនិត្យមើលដំណើរការដែលកំពុងដំណើរការប្រឆាំងនឹងបញ្ជីហាមឃាត់ ទទួលបានផ្ទាំងរូបភាពបច្ចុប្បន្ន និងផ្ទៀងផ្ទាត់វាប្រឆាំងនឹងកូដរឹងដែលតំណាងឱ្យប្រអប់ខ្សាច់ Triage ។

វាក៏ដំណើរការការត្រួតពិនិត្យផងដែរដើម្បីបញ្ជាក់ថាតើឈ្មោះអ្នកប្រើប្រាស់បច្ចុប្បន្នត្រូវគ្នានឹងអ្វីដែលស្រដៀងនឹងអ្វីដែលប្រើសម្រាប់ប្រអប់ខ្សាច់ ហើយប្រៀបធៀប HWID (ឧបករណ៍កំណត់អត្តសញ្ញាណផ្នែករឹង) របស់ម៉ាស៊ីនជាមួយនឹងបញ្ជីដែលបានកំណត់ជាមុន ជាថ្មីម្តងទៀតដើម្បីបញ្ជាក់ពីវត្តមានរបស់ប្រអប់ខ្សាច់។ វាគ្រាន់តែជាពេលដែលការត្រួតពិនិត្យទាំងអស់នេះត្រូវបានឆ្លងកាត់ដែលគំរូដំណើរការដើម្បីបង្កើតការតភ្ជាប់ជាមួយម៉ាស៊ីនមេ command-and-control (C2) ដើម្បីទាញយកសមាសធាតុស្នូលរបស់អ្នកលួច។

បន្ទុកត្រូវបានបិទបាំងដោយប្រើបច្ចេកទេសស្ទីហ្គែន ទាំងជាឯកសារ WAV, JPEG ឬ PNG ពីកន្លែងដែលវាត្រូវបានស្រង់ចេញ ឌិគ្រីប និងចាប់ផ្តើម។ វាគួរឱ្យកត់សម្គាល់ថាការឌិគ្រីបកញ្ចប់ពី PNG តម្រូវឱ្យមានការសម្ងាត់ចែករំលែកដែលត្រូវបានយល់ព្រមក្នុងដំណាក់កាលដំបូងនៃទំនាក់ទំនង C2 ។

ម៉ូឌុលលួចសម្រាប់ផ្នែករបស់វាត្រូវបានបំពាក់ដោយឧបករណ៍រត់ Lua ដែលភ្ជាប់មកជាមួយដែលបម្រើកម្មវិធីជំនួយបន្ថែមដែលសរសេរជាភាសាសរសេរកម្មវិធីដើម្បីជួយសម្រួលដល់ការលួចទិន្នន័យ និងធ្វើការស្កេនក្រយៅដៃរបស់កម្មវិធីរុករកតាមអ៊ីនធឺណិតយ៉ាងទូលំទូលាយ។

"variantចុងក្រោយបំផុតតំណាងឱ្យការវិវត្តជាជាងបដិវត្តន៍។ អ្នកវិភាគគួរតែធ្វើបច្ចុប្បន្នភាពឧបករណ៍ញែកការកំណត់របស់ពួកគេ តាមដានការចែកចាយបន្ទុកដែលមានមូលដ្ឋានលើ PNG តាមដានការផ្លាស់ប្តូរក្នុងទម្រង់ mutex និង bot ID ហើយរំពឹងថានឹងមានការកើនឡើងបន្ថែមទៀតនៅក្នុងភាពច្របូកច្របល់នៅពេលដែលឧបករណ៍ចាប់ដំណើរការ" Check Point បាននិយាយ។

"បច្ចុប្បន្ន ការអភិវឌ្ឍន៍មានភាពយឺតយ៉ាវ និងស្ថិរភាពជាងមុន៖ ការរចនាស្នូលនៅដដែល ដោយមានការផ្លាស់ប្តូរផ្តោតលើការកែលម្អ ដូចជាសមាសធាតុអ្នកលួចថ្មី ការផ្លាស់ប្តូរភាពច្របូកច្របល់ និងជម្រើសប្ដូរតាមបំណងកម្រិតខ្ពស់បន្ថែមទៀត។"