Rhadamanthys 0.9.x: Эволюция опасного стилера продолжается

С момента своего появления Rhadamanthys привлек внимание множества злоумышленников благодаря продуманной архитектуре, унаследованной от более раннего проекта авторов - Hidden Bee. Постоянные обновления и возможности кастомизации сделали его одним из доминирующих стилеров в киберпреступной среде. Последняя версия, 0.9.2, привнесла значительные изменения, нарушившие работу ранее опубликованных инструментов анализа, что свидетельствует о новом этапе развития семейства.

Злоумышленники, стоящие за Rhadamanthys, активно развивают свою инфраструктуру. Изначально продвигавшийся через форумы, проект теперь имеет профессионально оформленный веб-сайт в сети Tor, где авторы позиционируют себя как «RHAD security» и «Mythical Origin Labs». На сайте представлен портфель продуктов, включая флагманский стилер, бота для прокси Elysium и криптографический сервис. Стоимость подписки варьируется от 299 до 499 долларов в месяц, что указывает на долгосрочный бизнес-подход.

Основные изменения в версии 0.9.x затронули ключевые компоненты вредоносной программы. Наиболее заметным нововведением стало появление предупреждающего окна при запуске распакованного образца, напоминающего аналогичный механизм в стилере Lumma. Однако анализ кода показал, что это поведенческое подражание, а не прямое заимствование: используются различные API и методы обфускации.

Значительные модификации претерпели пользовательские форматы исполняемых файлов XS1 и XS2, используемые для упаковки модулей. В XS1_B был изменен алгоритм деобфускации имен библиотек, а в XS2_B расширены поля структуры импорта. Эти правки, вероятно, направлены на затруднение анализа стандартными инструментами. Исследователи CPR обновили свои конвертеры для работы с новыми форматами.

На этапе первичных проверок (Stage 2) разработчики отказались от использования регистровых ключей SibCode для отслеживания времени выполнения, что упрощает повторное заражение. Одновременно был усложнен механизм создания мьютексов: их имена теперь генерируются на основе 16-байтного сида из конфигурации, что делает невозможным создание универсальной «вакцины».

Конфигурация вредоносной программы также была значительно переработана. Магическая сигнатура сменилась с 0x59485221 на 0xBEEF, а сами данные хранятся в сжатом виде (алгоритм LZO). Теперь поддерживается несколько C2-адресов, что повышает отказоустойчивость. Добавлены новые флаги, управляющие поведением, например, закрытием handles мьютексов.

Модули внутри пакета теперь извлекаются по контрольным суммам, а не по именам, что затрудняет определение их функциональности. Для деобфускации используется XOR с динамически генерируемым ключом. Исследователи разработали инструмент для автоматического извлечения всех модулей из дампа пакета.

Модуль обхода средств защиты («Strategy») был расширен новыми возможностями проверки окружения. Теперь он загружает дополнительные конфигурационные файлы из пакета, включая списки MAC-адресов виртуальных интерфейсов и идентификаторов оборудования (HWID), характерных для песочниц. Проверяются имена пользователей, файлы-приманки и даже хеш обоев рабочего стола.

На этапе загрузки основного вредоносного модуля (Stage 3) произошли существенные изменения. Вместо стеганографии в WAV или JPG файлах, данные теперь передаются внутри PNG-изображений. Алгоритм стал проще: полезная нагрузка хранится непосредственно в пикселях, что делает изображение визуально «шумным», но функциональным. Расшифровка по-прежнему требует секретного ключа, установленного во время коммуникации с C2.

Список процессов для инжектации стал настраиваемым и загружается из пакета, что позволяет операторам гибко его менять. Если указанные процессы недоступны, используется резервный жестко заданный список.

В модулях Stage 3 изменилась и обфускация строк: XOR был заменен на алгоритм RC4. Хотя это не усложняет деобфускацию, это нарушает работу существующих скриптов и требует их адаптации.

Сетевое взаимодействие также претерпело изменения. Перед подключением к C2 вредоносная программа запрашивает время у множества открытых сервисов, таких как time.google.com и pool.ntp.org. Добавлен механизм генерации псевдослучайных строк, частично замещающих домен в конфигурации, однако реальное соединение устанавливается с исходным адресом, что, вероятно, служит для дополнительного затруднения анализа.

Функционал кражи данных был дополнен новым Lua-скриптом для Ledger Live, а также модулями для сбора цифровых отпечатков браузера (fingerprint.js). Последний собирает обширную информацию о системе, браузере, установленных плагинах и настройках, что позволяет злоумышленникам глубже профилировать жертв.

Эволюция Rhadamanthys демонстрирует переход от быстрого наращивания функциональности к тонкой настройке и усложнению детектирования. Ожидается, что в будущем разработчики сосредоточатся на дальнейшей профессиональizacji и стабилизации кодовой базы, укрепляя позиции стилера на подпольном рынке.

URLs

• https://193.84.71.81/gateway/wcm6paht.htbq1

SHA256

• 0500bd111464a1376e7efba2376eb1192cb4beb18278f62e460c8c8191f0cc5d
• 090b0ef20633785d11096cda04d9764bd46c9f5d9d3c02183009d2bf165abb82
• 0fc149c1ed4a1040b9cf68076c17c4d005a121aca0a22385458a1980f7d24589
• 11aabefa4eac0c2f22d0b2efdb7facd242d52765fe5167523112b980f096d9d1
• 1f7213a32bce28cb3272ef40a7d63196b2e85f176bcfe7a2d2cd7f88f4ff93fd
• 23a57ba898b5e91a2ead4e93c97710fe91dc917a7d11dc44b41304778565905f
• 24ce42c2fd4a95c1b86bbee9bce1e1cf255bd0022e19bab6bd591afd68b7efdb
• 24ddfd61c05b2f772caf85b44e9e58363a0cf345c6a9294a8416617f0b5b03cf
• 271452e1c5e79d159f79886a65d4180814a7329c092d617372f127b6311d60f1
• 3419dc2a3fb5bdba7f5d51634109066b0ceaeeae898a6748ce9eeaeb63fd1fb0
• 36dd78abc304bd2cfbfc188a0b47320e3a4393f03657d69796a5616e3dac50c8
• 3ca87045da78292a6bba017138ff9ee42b4e626b64d0fee6d86a16cc3258c8c3
• 41daeb92734388f9133a007cbc9c4d8058092b9d8192734be70b3106f0ca5d9f
• 4ec1902e8cd21d2d5a65465111a1883920bb6c898189dac34d618766b1c4fa66
• 4f88d5cb69d44144b02f7ffd3d45cd86aaee12c3410898ce83712287a6b27fe4
• 59722b8869d17c5a805dd9febe70295b78afd53e4f3b0e26cd76ea1e772e6818
• 59920d1fc7facb5b3b06b93da5b8ee3cbb15acb75f2bb36536e35b803a1f2222
• 5a747f6d9d818fcfd90e0ff1ca393321ab7e10314f71e9db01cb1f451258f257
• 6415c029d241255bffaf057a8f1390b626c8069ba9a1432f0e8372c7ab68778a
• 67f00a03e76308a399f21498ebdd4accdb1879c908960e60f717e6d3cb9d05cf
• 71ccf996f6ad9ac4ed001d3570de6754f7e26a846ed19b34e9b3b1b58abfe619
• 7acae2490a0ff1ae3a31f89346fe4e0630259a344c2a6f38bf75f34f8fe9987e
• 84bbe70b3089e578d69744bd8b030c3a6e724a6c3f4bdefda82fe5057f89c9ba
• 8c12af846fc774e02dc5ec358f0a9fa7363538cef541e95ac65331ec18fbbe0b
• 8f54612f441c4a18564e6badf5709544370715e4529518d04b402dcd7f11b0fb
• 9d110b4e129be5d80253c4d890757f81c5135dcf6d1bbf0262fb554f0c885720
• a451cbfe093830cd4d907d10bc0f27ea51da53ece5456af2fe6b3b24d3df163e
• a905226a2486ccc158d44cf4c1728e103472825fb189e05c17d998b9f5534d63
• a9932ada2cf6bfb2614080e9a0068af03ee919657f16ef50d256fccd74ee2d44
• ad5ecfda322ac8fdde40f3ee57273abae35b5eb6ca96f2df0a91b8059e75d022
• ae26068833a65197c5ff2440d8ca06db393823ee1b5130dbf00d90da2120bf01
• aeba4ece8c4bf51d9761e49fad983967e76c705a06999c556c099f39853f737c
• b25d958bd91f85c14ca451dd6dbcea58507c8e92466f48cd2d2e04cef9d371af
• b41fb6e936eae7bcd364c5b79dac7eb34ef1c301834681fbd841d334662dbd1d
• b429a3e21a3ee5ac7be86739985009647f570548b4f04d4256139bc280a6c68f
• b43d35a26681c7f214ce3bd90af35bc3272008c169c5b1b4e7e6af7398e3e3c4
• b8cbb2a7270ac21c3e895f1b4965b1a17d7a1a6ea54c2c8ef19df49a26442779
• c19716b262e928d83252d75a1ff262786df6cbb221132a0ada08ef3293c091b7
• cb0662d468b034530f88dee9204b3a1d3ff04d19345f417b2cce92a1940dc991
• cb555f5cb3e40c4db0fba7953ffc56e978a599233f80512e019e4c94fd69892c
• cbca01435be6348ce4c58cc86c2900f3d99dc806ea38dbdfbb8d6291af17fce4
• cbdb3d2e0a845b134576fabcc2260aa5bd995b9f3b43483ab704c6787409012d
• d14d10fdcd7a6f0c095e2bb525fe21d8970c508c0475913bd9bd1c96067bcb04
• d8d2bae5ec1ade8770ad2d6fc323b2ccc459919643cbe8d67e6a5b11094a4d85
• df24d62310c018ba8817f0b70788e6bec546f234bb56116f90bf5b7f19c87901
• eb5558d414c6f96efeb30db704734c463eb08758a3feacf452d743ba5f8fe662
• fcb00beaa88f7827999856ba12302086cadbc1252261d64379172f2927a6760e