خانه » بدافزار Rhadamanthys، از هوش مصنوعی در نسخه 0.7.0 خود استفاده کرده است!

بدافزار Rhadamanthys، از هوش مصنوعی در نسخه 0.7.0 خود استفاده کرده است!

توسط Vulnerbyte
16 بازدید
Rhadamanthys - رادامانتیس - vulnerbyte - بدافزار رباینده اطلاعات - هوش مصنوعی - AI - تشخیص کاراکتر نوری - Seed Phrase

هکرها و توسعه دهندگانی که در پشت بدافزار رباینده اطلاعات Rhadamanthys (رادامانتیس) قرار دارند، ویژگی‌های پیشرفته جدیدی را به این بدافزار افزوده‌اند، از جمله استفاده از هوش مصنوعی ([1]AI) برای تشخیص کاراکتر نوری ([2]OCR) به عنوان بخشی از آنچه که “تشخیص تصویر عبارت Seed ” نامیده می‌شود.

عبارت Seed یا Seed Phrase، مجموعه‌ای از کلمات تصادفی است که داده‌های مورد نیاز برای دسترسی یا بازیابی ارز دیجیتال را ذخیره می‌کند.

Seed Phrase توسط کیف پول‌های ارز دیجیتال تولید می‌شود و برای ایمنی دارایی‌های دیجیتال بسیار مهم است. ضروری است که Seed Phrase را ایمن و خصوصی نگه دارید زیرا می‌توان از آن برای دسترسی مجدد به کیف پول ارز دیجیتال استفاده کرد.

گروه Insikt Recorded Future در تجزیه و تحلیل نسخه 0.7.0 این بدافزار گفته است که هوش مصنوعی به Rhadamanthys کمک می‌کند تا Seed Phrase کیف پول ارز دیجیتال را از تصاویر استخراج کند و آن را به تهدیدی بسیار قوی در حوزه ارز دیجیتال تبدیل کند.

این بدافزار می‌تواند تصویر Seed phrase  را در سمت کلاینت تشخیص دهد و آنها را برای بهره‌برداری بیشتر به سرور فرماندهی و کنترل ([3]C2) ارسال کند.

Rhadamanthys که برای اولین بار در سپتامبر 2022 کشف شد، به عنوان یکی از قوی‌ترین بدافزارهای رباینده اطلاعات تحت مدل بدافزار به عنوان سرویس ([4]MaaS) ظاهر گردید.

توسعه‌ دهنده بدافزار رباینده Rhadamanthys با نام «kingcrete» (با نام مستعار «kingcrete2022») شناخته می‌شود و این بدافزار را غالبا در تلگرام، Jabber و TOX تبلیغ کرده و به فروش می‌رساند.

Rhadamanthys به صورت اشتراکی به قیمت 250 دلار در ماه (یا 550 دلار برای 90 روز) فروخته می‌شود و به مشتریان خود امکان می‌دهد طیف وسیعی از اطلاعات حساس را از میزبان‌های آلوده جمع آوری کنند.

این اطلاعات شامل اطلاعات سیستمی، کیف پول‌های ارز دیجیتال، رمزهای عبور مرورگر، کوکی‌ها و داده‌های ذخیره شده در برنامه‌های مختلف می‌شود. Rhadamanthys به طور همزمان اقداماتی را برای پیچیده‌تر کردن تلاش‌های تجزیه و تحلیل در محیط‌های sandbox انجام می‌دهد.

نسخه 0.7.0، جدیدترین نسخه Rhadamanthys که در ژوئن 2024 منتشر شد، به طور قابل توجهی نسبت به نسخه قبلی یعنی 0.6.0 که در فوریه 2024 منتشر گردید، بهبود یافته است.

این توسعه‌ها شامل بازنویسی کامل فریمورک سمت کلاینت و سمت سرور است که ثبات اجرای برنامه را بهبود بخشیده است. علاوه بر این، 30 الگوریتم شکستن کیف پول، گرافیک مبتنی بر هوش مصنوعی و تشخیص PDF برای استخراج عبارت (Seed Phrase) به آن اضافه شده است. قابلیت استخراج متن نیز برای شناسایی عبارات ذخیره شده متعدد در این رباینده افزایش یافته است.

Rhadamanthys همچنین شامل ویژگی‌ است که به هکرها اجازه می‌دهد تا فایل‌های [5]MSI را اجرا و نصب کنند تا از شناسایی توسط راه‌حل‌های امنیتی نصب‌ شده بر روی هاست اجتناب نمایند. این بدافزار رباینده همچنین شامل تنظیماتی برای جلوگیری از اجرای مجدد در یک بازه زمانی قابل تنظیم است.

Rhadamanthys - رادامانتیس - vulnerbyte - بدافزار رباینده اطلاعات - هوش مصنوعی - AI - تشخیص کاراکتر نوری - Seed Phrase
زنجیره نفوذ بدافزار رباینده Rhadamanthys

یکی از جنبه‌های قابل توجه Rhadamanthys، سیستم پلاگین آن است که می‌تواند قابلیت‌های خود را با کیلاگر (keylogger)، کلیپر (clipper) ارز دیجیتال و عملکرد پروکسی معکوس افزایش دهد.

Rhadamanthys با توسعه سریع و ویژگی‌های جدید و نوآورانه خود، یک انتخاب محبوب برای مجرمان سایبری به شمار می‌آید که همه سازمان‌ها باید از آن آگاه باشند.

 

راهکارهای مقابله با بدافزار رباینده Rhadamanthys

گروه Insikt چندین استراتژی تشخیص و حتی یک ” سوئیچ Kill ” برای جلوگیری از اجرای Rhadamanthys بر روی سیستم معرفی کرده است.

  1. سوئیچ Kill مبتنی بر Mutex: با تنظیم Mutexهای شناخته شده Rhadamanthys در یک دستگاه غیر آلوده، سازمان‌ها می‌توانند یک سوئیچ kill ایجاد کنند که از اجرای بدافزارها و افزونه‌های آنها جلوگیری کنند. این یک روش فعال برای ایمن سازی سیستم‌ها در برابر نفوهای فعلی Rhadamanthys است.
  2. قوانین تشخیص پیشرفته: گروه Insikt قوانین تشخیص Sigma، Snort و YARA را برای شناسایی فعالیت Rhadamanthys توسعه داده‌اند. این قوانین ویژگی اجرای فایل MSI و تاخیر در اجرای مجدد بدافزار را هدف قرار می‌دهند تا به تیم‌های امنیتی شانس مبارزه با این تهدید در حال تکامل را اعطا کنند.
  3. حفاظت از Endpointها: استقرار راه حل‌های تشخیص و پاسخ Endpoint (یا [6]EDR) و پیاده سازی با حداقل سطح دسترسی در سراسر سیستم‌ها هنگام محافظت در برابر Rhadamanthys بسیار مهم است. اطمینان از احراز هویت چند عاملی ([7]MFA) برای دسترسی به سیستم‌های حساس می‌تواند به کاهش حملات سرقت داده‌های لاگین و احراز هویت کمک کند.

 

[1] artificial intelligence

[2] optical character recognition

[3] command-and-control

[4] malware-as-a-service

[5] Microsoft Software Installer

[6] endpoint detection and response

[7] multi-factor authentication

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید