Rhadamanthys là một mã độc đánh cắp thông tin (information stealer) tinh vi vừa xuất hiện trên các chợ đen dưới dạng dịch vụ thuê bao. Với mức giá từ 299 USD đến 499 USD mỗi tháng, mã độc này đang tự định vị mình là một dịch vụ chuyên nghiệp, khác biệt hoàn toàn so với các công cụ đơn giản dành cho tội phạm mạng nghiệp dư.

Rhadamanthys: Từ Dự Án Thử Nghiệm Đến Mã Độc Đánh Cắp Thông Tin Toàn Diện

Kể từ khi ra mắt vào tháng 9 năm 2022 dưới biệt danh kingcrete2022, Rhadamanthys đã nhanh chóng phát triển từ một dự án thử nghiệm thành một trong những công cụ đánh cắp thông tin giàu tính năng nhất trên dark web. Sự phát triển này được ghi nhận rõ ràng qua các bản cập nhật liên tục.

Quá Trình Tiến Hóa và Kiến Trúc Mô-đun

Ban đầu, Rhadamanthys lấy cảm hứng từ mã nguồn của người tiền nhiệm mang tên Hidden Bee. Các nhà phát triển đã tinh chỉnh kiến trúc mô-đun của nó để cung cấp các trình tải tùy chỉnh (custom loaders), khả năng làm xáo trộn mã nâng cao (advanced obfuscation), và các tùy chọn triển khai linh hoạt. Điều này cho phép mã độc thích ứng với nhiều môi trường tấn công khác nhau và khó bị phát hiện hơn.

Thay Đổi Kỹ Thuật Tẩu Tán Payload

Các phiên bản đầu tiên của Rhadamanthys thường sử dụng kỹ thuật ẩn giấu dữ liệu (steganography) trong các tệp WAV hoặc JPEG để truyền tải payload. Tuy nhiên, phiên bản mới nhất, v0.9.2, đã đơn giản hóa quy trình này bằng cách nhúng các mô-đun được mã hóa trực tiếp vào hình ảnh PNG. Sự thay đổi này cho thấy sự cải tiến liên tục trong việc né tránh các hệ thống bảo mật truyền thống.

Tham khảo thêm về quá trình cập nhật của Rhadamanthys tại Checkpoint Research.

Mô Hình Malware-as-a-Service (MaaS) Chuyên Nghiệp

Trong suốt quá trình phát triển, Rhadamanthys đã áp dụng một phương pháp tiếp cận “software house” hoàn chỉnh. Điều này bao gồm một cửa hàng được lưu trữ trên Tor, các kênh hỗ trợ Telegram và các nhận diện thương hiệu riêng biệt như RHAD Security và Mythical Origin Labs.

Hệ Sinh Thái Dịch Vụ Mở Rộng

Cửa hàng của Rhadamanthys không chỉ cung cấp công cụ đánh cắp thông tin chính mà còn có các dịch vụ bổ trợ như Elysium Proxy Bot và Crypt Service. Điều này nhấn mạnh tham vọng của những kẻ điều hành trong việc xây dựng một hệ sinh thái tội phạm mạng toàn diện.

Cấu Trúc Gói Đăng Ký và Mục Tiêu Khách Hàng

Các nhà điều hành tiếp thị Rhadamanthys với ba cấp độ dịch vụ chính:

• Self-Hosted Package: Giá 299 USD/tháng. Cho phép người mua triển khai mã độc trên cơ sở hạ tầng của riêng họ. Tùy chọn này phù hợp với các đối tượng tấn công có sẵn máy chủ và muốn giảm thiểu sự can thiệp của bên thứ ba.
• Managed Server Subscription: Giá 499 USD/tháng. Bao gồm quyền truy cập vào các máy chủ được thuê và duy trì bởi các nhà phát triển, cùng với cập nhật tự động và hỗ trợ kỹ thuật ưu tiên.
• Enterprise Package: Có sẵn thông qua đàm phán riêng. Gói này hứa hẹn các tính năng tùy chỉnh, đảm bảo SLA (Service Level Agreement) và hỗ trợ chuyên biệt.

Mô hình kinh doanh này là điều không phổ biến đối với các công cụ đánh cắp thông tin khác, vốn thường được bán một lần hoặc cấp phép trọn đời đơn giản. Phí đăng ký định kỳ và hệ sinh thái dịch vụ của Rhadamanthys phản ánh các nền tảng phần mềm dưới dạng dịch vụ (SaaS) hợp pháp, cho thấy mức độ chuyên nghiệp cao. Các nhà phân tích cảnh báo rằng lớp vỏ bọc chuyên nghiệp này có thể thu hút các nhóm tội phạm mạng tiên tiến, những người coi trọng độ tin cậy và hỗ trợ liên tục.

Các Cải Tiến Kỹ Thuật và Khả Năng Né Tránh Nâng Cao

Ngoài cấu trúc giá, phiên bản mới nhất của Rhadamanthys còn giới thiệu một số cải tiến đáng chú ý về mặt kỹ thuật, đặc biệt là trong khả năng né tránh phân tích và phát hiện.

Cấu Hình và Cơ Chế Né Tránh Phân Tích

Cấu hình của Rhadamanthys bao gồm một giá trị seed 16 byte tham gia vào việc tạo tên mutex. Giá trị này được băm cùng với chuỗi “magic” XRHY, giúp tạo ra các mutex động và khó dự đoán. Điều này làm phức tạp các nỗ lực phân tích và ngăn chặn dựa trên chữ ký mutex tĩnh.

Bản cập nhật còn giới thiệu một hộp thư thoại mới bắt chước pop-up của mã độc Lumma nổi tiếng, nhằm đánh lừa các nhà phân tích đang giải nén trình tải (loader). Các định dạng thực thi tùy chỉnh (được chỉ định là XS1B và XS2B) đã thay thế cấu trúc PE tiêu chuẩn để gây khó khăn cho các công cụ tự động, trong khi thuật toán RC4 đã thay thế các quy trình XOR trước đây để giải mã chuỗi (string deobfuscation).

Kỹ Thuật Tẩu Tán và Che Dấu Payload

Khối cấu hình (configuration blob) của mã độc hiện bắt đầu bằng một dấu hiệu 0xBEEF đặc trưng và hỗ trợ nhiều URL máy chủ Command-and-Control (C2). Các URL này được nén bằng LZO và mã hóa bằng ChaCha20, tăng cường khả năng che giấu thông tin liên lạc và làm chậm quá trình phân tích.

Khả năng né tránh cũng đã được mở rộng đáng kể. Mô-đun “Strategy” hiện tìm nạp các danh sách phát hiện sandbox theo yêu cầu, bao gồm các danh sách chặn MAC và ID phần cứng, kiểm tra hình nền mặc định, và phát hiện các tệp mẫu thường được sử dụng bởi môi trường phân tích. Một seed mutex ngẫu nhiên cũng làm vô hiệu hóa các kỹ thuật “universal vaccine” thông thường. Các kiểm tra đồng bộ hóa thời gian với các máy chủ NTP công cộng đảm bảo các hoạt động của kẻ đánh cắp vẫn được che giấu.

Thành phần Netclient quản lý việc phân phối payload thông qua kỹ thuật steganography dựa trên PNG, loại bỏ các phương pháp WAV và JPEG trước đó. Điều này cho thấy sự đầu tư vào các phương pháp tẩu tán ít bị phát hiện hơn.

Mục Tiêu Đánh Cắp Dữ Liệu

Khi được triển khai, lõi của Rhadamanthys thực thi bên trong một tiến trình hợp pháp bị tạm dừng, được chọn từ một danh sách có thể cấu hình, làm phức tạp hơn nữa việc phát hiện. Mục tiêu chính của Rhadamanthys là thu thập các loại dữ liệu nhạy cảm sau:

• Thông tin xác thực (credentials)
• Cookie trình duyệt
• Dấu vân tay trình duyệt (browser fingerprints)
• Dữ liệu ví tiền điện tử (cryptocurrency wallet data)
• Cấu hình VPN
• Tích hợp các plugin dựa trên Lua để mở rộng phạm vi bao phủ phần mềm của bên thứ ba.

Những khả năng này cho phép Rhadamanthys đánh cắp một lượng lớn thông tin cá nhân và tài chính từ các nạn nhân.

Khuyến Nghị Bảo Mật và Phát Hiện Xâm Nhập

Với phí thuê bao và những cải tiến liên tục, Rhadamanthys là một ví dụ điển hình cho xu hướng các dịch vụ mã độc (Malware-as-a-Service) đang ngày càng áp dụng các thực tiễn kinh doanh của doanh nghiệp. Để bảo vệ hệ thống khỏi mối đe dọa này, các nhóm an ninh mạng được khuyến nghị thực hiện các biện pháp sau:

• Cập nhật công cụ phát hiện để nhận diện các payload được phân phối qua hình ảnh PNG.
• Giám sát chặt chẽ các định dạng mutex và cấu hình mới, đặc biệt là dấu hiệu 0xBEEF trong khối cấu hình.
• Nâng cao cảnh giác đối với các kỹ thuật làm xáo trộn mã đang phát triển của Rhadamanthys.
• Thường xuyên cập nhật bản vá bảo mật cho các hệ thống và ứng dụng.

Khi Rhadamanthys củng cố vị thế là một nguồn doanh thu bền vững cho những kẻ tạo ra nó, các nhà bảo vệ hệ thống cần phải dự đoán sự chuyên nghiệp hóa và mở rộng tính năng hơn nữa trong các bản phát hành tương lai để duy trì hiệu quả trong việc phát hiện và ngăn chặn mã độc đánh cắp thông tin này.