Forscher von Check Point und Cisco Talos haben eine neue Version des Rhadamanthys Infostealers analysiert. | Check Point and Cisco Talos researchers have analyzed a new version of the Rhadamanthys infostealer. |
Eine sagenumwobene Gestalt geistert im Darknet: Rhadamanthys war ein kretischer Herrscher, der nach seinem Tod gerechte Urteile in der Unterwelt sprach. Thomas Mann hat diesen Mythos in seinem Roman „Der Zauberberg“ aufgegriffen.
Seit Juli 2024 verfolgt Check Point Research (CPR) eine umfangreiche und andauernde Phishing-Kampagne, die zum Einsatz des Rhadamanthys Infostealers führt. Diese Kampagne gibt sich als verschiedene Unternehmen aus und behauptet fälschlicherweise, dass die Opfer auf ihren Facebook-Seiten Urheberrechtsverletzungen begangen haben. Die Phishing-E-Mails, die in der Regel von Gmail-Konten gesendet werden, fordern die Empfänger auf, eine Archivdatei herunterzuladen, die die Infektion durch DLL-Side-Loading auslöst. Die anfällige Binärdatei installiert dann die neueste Version des Rhadamanthys-Stehlers (Version 0.7), die neue Funktionen wie ein angeblich KI-gestütztes OCR-Modul (optische Zeichenerkennung) enthält. Cisco Talos führt die Malware unter dem Namen LummaC2. Der Rhadamanthys-Stealer, wurde u.a. von Void Manticore eingesetzt, einem iranischen Akteur, der in Israel und Albanien operiert. In einer Kampagne, die mit Handala, einer mit Void Manticore verbundenen Persona, verbunden war, wurde der Rhadamanthys-Stealer unter dem Deckmantel eines F5-Updates verbreitet. Dies war der erste Einsatz des Stealers, der in späteren Kampagnen unter dem Deckmantel israelischer und internationaler Unternehmen eingesetzt wurde. Gleichzeitig erhielt Check Point Software Technologies Berichte über Phishing-Köder, die Check Point-E-Mails imitierten und zum Einsatz von Rhadamanthys führten. Angesichts des früheren Interesses von Handala an Check Point und der Drohungen, die sie in ihrem Telegram-Kanal veröffentlichten, nahm CPR zunächst an, dass sie auch hinter dieser Kampagne steckten. Weitere Analysen ergaben jedoch, dass es sich hierbei lediglich um einen Zufall handelte und die Check Point-Köder Teil eines größeren, eindeutig auf Cyberkriminalität ausgerichteten Clusters waren. Der neu identifizierte Cluster zeichnet sich durch Spear-Phishing-E-Mails aus, die von Gmail-Konten aus verschickt werden, die angeblich von bekannten Unternehmen stammen und angebliche Urheberrechtsverletzungen behaupten. Diese E-Mails, die von den Rechtsvertretern der imitierten Unternehmen zu stammen scheinen, beschuldigen den Empfänger, seine Marke auf der Social-Media-Seite des Ziels missbraucht zu haben, und fordern ihn auf, bestimmte Bilder und Videos zu entfernen. Die Anweisungen zur Entfernung befinden sich angeblich in einer passwortgeschützten Datei. Bei der angehängten Datei handelt es sich jedoch um einen Download-Link zu appspot.com, der mit dem Gmail-Konto verknüpft ist und den Nutzer zu Dropbox oder Discord weiterleitet, wo er ein passwortgeschütztes Archiv herunterladen kann (mit dem in der E-Mail angegebenen Passwort). Bei dieser Kampagne wurden u. a. DLL-Sideloading und Anti-Detection-Techniken eingesetzt, wodurch die neueste Version von Rhadamanthys (0.7) noch wirksamer und schwieriger zu erkennen ist. CPR hat auch die neuen OCR-Funktionen von Rhadamanthys untersucht. Die weit verbreitete und wahllose Ausrichtung der Kampagne auf Organisationen in verschiedenen Regionen lässt darauf schließen, dass sie eher von einer finanziell motivierten Cybercrime-Gruppe als von einem nationalen Akteur inszeniert wurde. Die globale Reichweite, die automatisierten Phishing-Taktiken und die verschiedenen Köder zeigen, wie Angreifer sich ständig weiterentwickeln, um ihre Erfolgsquote zu verbessern. |
A legendary figure haunts the Darknet: Rhadamanthys was a Cretan ruler who, after his death, passed just sentences in the underworld. Thomas Mann used this myth in his novel The Magic Mountain.
Since July 2024, Check Point Research (CPR) has been tracking an extensive and ongoing phishing campaign using the Rhadamanthys Infostealer. This campaign impersonates various companies and falsely claims that victims have committed copyright infringement on their Facebook pages. The phishing emails, typically sent from Gmail accounts, ask recipients to download an archive file that triggers infection via DLL side-loading. The vulnerable binary then installs the latest version of the Rhadamanthys stealer (version 0.7), which includes new features such as an alleged AI-powered OCR (optical character recognition) module. Cisco Talos lists the malware as LummaC2. The Rhadamanthys stealer has been used by Void Manticore, an Iranian actor operating in Israel and Albania, among other countries. In a campaign linked to Handala, a persona associated with Void Manticore, the Rhadamanthys Stealer was distributed under the guise of an F5 update. This was the first use of the stealer, which was used in subsequent campaigns under the guise of Israeli and international companies. At the same time, Check Point Software Technologies received reports of phishing lures that mimicked Check Point emails, leading to the use of Rhadamanthys. Given Handala’s previous interest in Check Point and the threats they posted on their Telegram channel, CPR initially assumed they were also behind this campaign. However, further analysis revealed that this was a coincidence and that the Check Point lures were part of a larger, clearly cybercriminal cluster. The newly identified cluster is characterized by spear-phishing emails sent from Gmail accounts that appear to be from well-known companies and claim copyright infringement. These emails, which appear to be from the legal representatives of the impersonated companies, accuse the recipient of misusing their brand on the target’s social media page and ask them to remove certain images and videos. The removal instructions are supposedly in a password-protected file. However, the attached file is a download link to appspot.com, which links to the Gmail account and redirects the user to Dropbox or Discord, where they can download a password-protected archive (using the password provided in the email). This campaign used DLL sideloading and anti-detection techniques to make the latest version of Rhadamanthys (0.7) even more effective and harder to detect. CPR also investigated the new OCR capabilities of Rhadamanthys. The widespread and indiscriminate targeting of organizations in different regions suggests that the campaign was orchestrated by a financially motivated cybercrime group rather than a national actor. The global reach, automated phishing tactics and multiple lures show how attackers are constantly evolving to improve their success rate. |
Markus Fritz, General Manager DACH bei Acronis, erklärt im Podcast Security, Storage und Channel Germany mit Carolina Heyder, warum Unternehmen eine umfassende Cybersicherheit benötigen. | Markus Fritz, General Manager DACH at Acronis, explains in the podcast Security, Storage and Channel Germany with Carolina Heyder why companies need comprehensive cyber security. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de