Rhadamanthys information stealer introduces AI-driven capabilities
Rhadamanthys information stealer introduces AI-driven capabilities
The Rhadamanthys information stealer supports new advanced features, including the use of AI for optical character recognition (OCR).
securityaffairs.com
- 개요
- Rhadamanthys 정보 탈취 악성코드는 2022년에 처음 식별되었으며, 최근 AI 기반 기능을 포함하여 버전 0.7.0으로 업그레이드됨
- 악성코드는 암호화폐와 관련된 시드 구문 이미지에서 정보를 추출하는 광학 문자 인식(OCR) 기능을 추가하여 강력한 위협으로 부상함
- Recorded Future의 Insikt 그룹 연구에 따르면, 이 악성코드는 시스템 정보, 자격 증명, 금융 데이터를 훔칠 수 있으며, MSI 설치 파일로 위장하는 고급 회피 기법을 사용함
- 주요 특징
- AI 기반 OCR 기능
- 암호화폐 시드 구문 이미지에서 정보를 추출하는 기능을 제공
- 이는 암호화폐를 다루는 사용자에게 큰 위협이 될 수 있음
- 위협 행위자
- Rhadamanthys는 kingcrete2022라는 이름의 위협 행위자에 의해 개발되었으며, XSS, Exploit, Best Dark 등 다크 웹 포럼에서 판매됨
- 월 구독료는 $250, 90일 구독은 $550
- 기능 업그레이드
- 버전 0.7.0에서 클라이언트 및 서버 프레임워크가 완전히 재작성되어 안정성이 개선되었으며, 30개의 지갑 해킹 알고리즘과 PDF 인식 기능이 추가됨
- Telegram 모듈도 HTML 포맷 및 멀티 토큰 폴링을 지원하도록 재작성됨
- AI 기반 OCR 기능
- 공격 단계
- 1단계: 두 번째 단계 쉘코드가 압축 해제 및 로드됨
- 2단계: 시스템 준비 작업(프로세스 주입, 회피 검사 등)이 실행되며 C2 서버와의 통신이 시작되고 CoreDLL(3단계)이 로드됨
- 3단계: 정보 탈취기 및 추가 모듈이 실행되며, 수집된 데이터가 C2 서버로 전송됨
- 주요 플러그인
- Keylogger: 키 입력을 기록하는 기능
- DataSpyer: 시스템에서 데이터를 스파이하여 수집하는 기능
- Clipper: 클립보드에서 정보를 가로채는 기능
- Reversed Proxy: 역방향 프록시 기능을 통해 시스템 접근을 유지함
- 회피 및 감염 방지 기법
- Mutex 객체를 사용하여 시스템에서 악성코드의 단일 인스턴스만 실행되도록 함
- 이 Mutex 값을 알고 있으면 킬스위치를 만들어 감염을 방지할 수 있음
- 결론
- Rhadamanthys는 AI 기능을 추가하여 더욱 강력해졌으며, 특히 암호화폐 사용자에게 큰 위협이 되고 있음
- 기업과 개인은 침해 지표(IoC)와 탐지 기술을 사용하여 악성코드의 감염을 방지해야 하며, 시스템 보안 업데이트를 통해 취약점을 해결해야 함
- 관련 TTP (전술, 기술, 절차)
- 정보 탈취: 시스템 정보 및 금융 데이터, 암호화폐 지갑 정보 탈취
- 회피 기법: MSI 설치 파일로 위장, mutex 객체를 사용하여 시스템에 단일 인스턴스 실행
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 병원 키오스크, 저가경쟁으로 보안 문제 심화 (3) | 2024.10.12 |
|---|---|
| 효과적인 동적 악성코드 분석을 위한 5가지 필수 도구 (1) | 2024.10.11 |
| 기업 보안에서 간과된 위험: NHIs (1) | 2024.10.11 |
| 기업 IT의 정체성 문제 해법: 올바른 삼중주가 필요하다 (2) | 2024.10.11 |
| 마이크로클라우드의 성장과 사이버보안의 변화 (0) | 2024.10.11 |