TOP

KYBEZ

Ropný a plynárenský průmysl v obležení: Sofistikovaný phishingový útok odhalil pokročilý malware kradoucí data

Autor obsahu – Michaela Petrášová

Hrozba jménem Rhadamanthys

Nejedná se pouze o jméno jednoho ze synů Dia, ale především o zlodějský malware, jenž je specializovaný na krádež dat z infiltrovaných počítačů. Je naprogramován v jazyce C++ a navržen tak, aby navázal spojení se serverem C2 (command-and-control), což je centrální server, který koordinuje a řídí napadené systémy. Tímto způsobem umožňuje získat citlivá data jako jsou např. uložená hesla, cookies či kryptoměnové peněženky.

Prostředníkem jsou pro něj škodlivé stránky odkazující na stahování nejrůznějších programů jako je např. Zoom či AnyDesk. Samotný malware je následně stáhnutý spolu s opravdovým programem, což snižuje podezření uživatele na možnou hrozbu. K propagaci tohoto útoku se snaží aktéři hrozby nalákat nevědomé uživatele ke stažení programů přes reklamy Google, které nahradily legitimní výsledky při vyhledávání v Google vyhledávači, tedy přes tzv.malvertising.

Malware byl poprvé detekován v říjnu 2022 a jak se ukázalo, jedná se stále o aktuální hrozbu pro naši kybernetickou bezpečnost, neboť se v posledních dnech zasloužila o místo v médiích nová verze Rhadamanthys 0.5.2, a to kvůli jejímu využití ve phishingových útocích cílených na ropný a plynárenský průmysl. Oproti svým předchozím verzím obsahuje balíček škodlivého kódu, který kombinuje ransomware, trojského koně ClipBanker a nástroj na těžbu kryptoměn, čímž činí celý útok sofiskovanější.

Dylan Duncan, výzkumník z firmy Cofense, upozornil, že útočníci využívají phishingových emailů s lákavým tématem týkajícím se fiktivní nehody s vozidlem. Tyto emaily se později vydávají za oficiální komunikaci od Federálního úřadu pro dopravu, obsahující falešnou pokutu za uvedenou událost ve formátu PDF.

Zpráva dále obsahuje odkaz na podezřelou stránku, která využívá bezpečnostní chybu k přesměrování uživatele na stránku s údajným PDF dokumentem umístěném na nedávno registrované doméně docptypefinder[.]info. Avšak ve skutečnosti se jedná pouze o obrázek, který stáhne jako archiv ZIP s nebezpečným obsahem. Jakmile se oběť pokusí se spustitelným souborem interagovat, malware se rozbalí a zahájí se spojení se serverem C2.

Schéma útoku:

 

Náhoda nebo něco víc?

Dle Duncana vyšla hrozba na povrch jen pár dní poté, co se orgánům trestního řízení podařilo rozbít hackerskou skupinu LockBit, která nabízí svůj ransomware jako službu (RaaS) pro kyberzločince. Dle novějších zpráv ale nebyla operace zcela úspěšná, a tak skupina znovu útočí na uživatele.

Co je ale klíčové, je informace ze srpna 2023, kdy se společnosti Trend Micro podařilo odhalit verzi Rhadamanthys, která kromě svých původních nástrojů na krádež informací obsahovala i údajný payload, variantu ransomware, od zmíněné skupiny LockBit. Je zde tedy možné uvažovat o určité spojitosti mezi těmito dvěma událostmi.

 

Zdroje:
https://thehackernews.com/2024/04/new-phishing-campaign-targets-oil-gas.html, https://www.pcrisk.com/removal-guides/25643-rhadamanthys-stealer, https://cofense.com/blog/new-maas-infostealer-malware-campaign-targeting-oil-gas-sector/, https://thehackernews.com/2023/12/rhadamanthys-malware-swiss-army-knife.html, https://radiozurnal.rozhlas.cz/antivirus-hackerskou-skupinu-lockbit-se-rozbit-nepodarilo-utoci-i-v-cesku-9182623, https://cyberint.com/blog/research/blink-and-update-all-about-rhadamanthys-stealer/, https://threadreaderapp.com/thread/1696480133681496333.html