Rhadamanthys v0.9.x elemzése
A Rhadamanthys egy komplex, többmodulos malware, amelyet 2022 szeptembere óta árulnak darkweben. Először a „kingcrete2022” user hirdette meg. A kezdetektől fogva a tervezése tapasztalt fejlesztők munkájára utalt, és az elemzés során kiderült, hogy nagymértékben támaszkodtak ugyanazon szerzők korábbi projektjére, a Hidden Bee-re. Ez az erős alap segítette a Rhadamanthys gyors népszerűségét: egy niche termékből a kiberbűnözési kampányok egyik domináns stealer-évé nőtte ki magát, és még a fejlettebb kiberszereplők érdeklődését is felkeltette.
Megjelenése óta a Check Point Research (CPR) szorosan követi a Rhadamanthys fejlesztését, és folyamatos frissítéseket és testreszabási lehetőségeket azonosított. Ezeket a Check Point implementálta is a védelmi eszközeibe. A v0.9.x verzió megjelenésével azonban a Rhadamanthys olyan változásokat vezetett be, amelyek megszakították a Check Point néhány eszközének működését, többek között az egyedi formátumkonvertert és a karakterlánc-deobfuscator-t. A CPR ezért ú elemzést végzett a malware-en és bemutatják a legújabb, v0.9.2 verzióval kapcsolatos megállapításaikat.
A Rhadamanthys-t kezdetben kiberbűnözői fórumokon tett közzétett bejegyzésekkel népszerűsítették, viszont hamar elindítottak egy Telegram támogatási csatornát, egy Tor weboldalt részletes termékleírásokkal, és Tox-on keresztül is felajánlották a kommunikáció lehetőségét. A közelmúltban a weboldal teljes átalakításon esett át, és most már kifinomult, professzionális képet mutat. Az üzemeltetők most „RHAD security” és „Mythical Origin Labs” néven hirdetik magukat.
A korábbiakhoz hasonlóan a Rhadamanthys többféle csomagban érhető el: havi 299 dollártól a saját szerveren futó verzióért, havi 499 dollárig bérelt szerverrel és további előnyökkel. Egyedi árakkal rendelkező speciális “Enterprise” csomag is elérhető.
A 0.9-es verzió megjelenését 2025 februárjában jelentették be, majd ezt követte a 0.9.1 és 0.9.2 frissítés. A hivatalos weboldalon azonban még mindig csak a 0.9.1 (májusban megjelent) verzió szerepel. A változások listája hosszú, amiből több bejegyzés is kiemelkedik, köztük a duplikált végrehajtások elkerülésére szolgáló globális mutex bevezetése, a kibővített process injection opciók és az újratervezett build stub.
