Rhadamanthys 멀웨어 탐지: 암호화폐 지갑을 타겟으로 하는 구글 광고 및 스팸 이메일을 통해 확산되는 새로운 정보 탈취기

보안 전문가들은 새롭고 독창적인 악성 샘플, 즉 Rhadamanthys라는 회피형 정보 탈취기에 대해 밝히고 있습니다. 이 악성코드는 위장된 웹사이트로 유도하는 Google 광고를 통해 주로 배포되며, 이 웹사이트는 널리 사용되는 합법적인 소프트웨어로 가장합니다.

Rhadamanthys 악성코드 탐지

서비스형 악성코드(MaaS) 모델 하에서 사이버 위협 분야에서 널리 배포되는 Rhadamanthys 정보 탈취기의 인기가 증가하고 있으므로, 보안 전문가들은 가능한 공격을 초기 단계에서 식별하기 위한 신뢰할 수 있는 탐지 콘텐츠 소스를 필요로 합니다.

SOC Prime의 탐지완성 코드 플랫폼은 Rhadamanthys 정보 탈취기 악성코드 공격과 관련된 악성 활동을 식별하기 위한 Sigma 규칙 세트를 제공합니다. 모든 탐지 콘텐츠는 MITRE ATT&CK 프레임워크 v12 에 매핑되어 있으며 25개 이상의 SIEM, EDR 및 XDR 플랫폼과 호환됩니다.

아래의 ‘탐지 탐색’ 버튼을 클릭하여 관련 메타데이터 및 CTI 링크, ATT&CK 참조가 포함된 관련 탐지 규칙 목록을 확인하여 사이버 위협 조사 속도를 높이고 사이버 방어 역량을 강화하세요.

탐지 탐색

Rhadamanthys 악성코드 분석

2022년 말에 등장한 새로운 Rhadamanthys 정보 탈취기는 Google 광고를 가로채어 초기에 시스템에 접근합니다. 서비스형 악성코드(MaaS) 모델을 통해 분배됩니다., Rhadamanthys는 다크 웹에서 점차 인기를 얻고 있습니다.

피싱 웹페이지 외에도 Rhadamanthys는 멀웨어 스팸을 통해 전파될 수 있습니다. 위협 행위자는 새 변종을 이용하여 사용자의 비밀번호를 탈취하고 감염된 호스트에서 민감한 데이터를 덤프합니다. 또한, 이 회피형 정보 탈취기는 인기 있는 암호화폐 엔터티와 지갑을 대상으로 자격 증명을 탈취합니다.

문의에 따르면 Cyble, 멀웨어 스팸 캠페인의 경우 공격 킬 체인은 피해자에게 악성 페이로드 다운로드를 유도하는 PDF 파일에서 시작됩니다. 첨부 파일을 열면 Adobe Acrobat DC 소프트웨어 업데이트로 위장된 다운로드 링크가 있는 알림을 표시합니다. 가짜 업데이트 URL을 클릭하면 실행 파일이 실행되어 탈취기가 실행되고 공격자가 감염된 환경에서 민감한 데이터에 접근할 수 있습니다.

피싱 공격 벡터를 활용할 때, 공격자들은 Zoom, AnyDesk 등 신뢰할 수 있는 웹사이트를 사칭한 가짜 웹페이지를 만들고 이를 Google 광고를 통해 배포합니다. 이러한 악성 사이트는 합법적인 설치 프로그램으로 위장한 실행 파일을 다운로드합니다. 악성 캠페인의 결과로 인해 감염된 사용자는 감염 흔적을 발견하지 못하고 Rhadamanthys 정보 탈취기를 다운로드합니다.

발생하는 위협에 대한 25만 개 이상의 탐지 알고리즘이 준비되어 있습니다! 더 알아보기: https://socprime.com/ 그리고 필요한 것을 On Demand에서 얻으세요: https://my.socprime.com/pricing/