Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Rhadamanthys: модульный MaaS-стиллер и влияние операции «Эндшпиль»

3
3 мин
Rhadamanthys — сложное модульное вредоносное ПО, впервые выявленное в 2022 году, которое в основном функционирует как стиллер информации и нацелено на конфиденциальные данные — от учетных данных пользователей до финансовой информации. Его гибкость, настраиваемость и доступность на подпольных форумах сделали Rhadamanthys популярным инструментом в криминальном сообществе. Малварь продаётся на подпольных ресурсах под псевдонимом kingcrete2022 и доступна по модели MaaS (Malware-as-a-Service), что позволяет третьим лицам арендовать или покупать готовые сборки и плагины и вести операции независимо. Агентами распространения выступают различные филиалы и операторы, которые конфигурируют Rhadamanthys под собственные нужды. Методы распространения, зафиксированные в отчёте, включают: Rhadamanthys характеризуется модульной архитектурой и поддержкой плагинов, что обеспечивает быструю адаптацию под цели атакующих. В отчёте отмечено, что злоумышленник, связанный с Rhadamanthys, имеет пересечения с гр
Оглавление

Rhadamanthys — сложное модульное вредоносное ПО, впервые выявленное в 2022 году, которое в основном функционирует как стиллер информации и нацелено на конфиденциальные данные — от учетных данных пользователей до финансовой информации. Его гибкость, настраиваемость и доступность на подпольных форумах сделали Rhadamanthys популярным инструментом в криминальном сообществе.

Краткая суть и распространение

Малварь продаётся на подпольных ресурсах под псевдонимом kingcrete2022 и доступна по модели MaaS (Malware-as-a-Service), что позволяет третьим лицам арендовать или покупать готовые сборки и плагины и вести операции независимо. Агентами распространения выступают различные филиалы и операторы, которые конфигурируют Rhadamanthys под собственные нужды.

Методы распространения, зафиксированные в отчёте, включают:

  • кампании по электронной почте с ссылками на скомпрометированные сайты;
  • поддельные веб-страницы для фишинга, маскирующиеся под легитимные сервисы (логистические компании, YouTube и т.д.);
  • сценарии с использованием вредоносной рекламы (malvertising) и компрометации веб-ресурсов;
  • внедрение как самостоятельной полезной нагрузки, так и совместное использование с другими семействами вредоносов в рамках комплексных кампаний.

Архитектура и экосистема злоумышленников

Rhadamanthys характеризуется модульной архитектурой и поддержкой плагинов, что обеспечивает быструю адаптацию под цели атакующих. В отчёте отмечено, что злоумышленник, связанный с Rhadamanthys, имеет пересечения с группой TA571, известной применением как специализированных, так и общедоступных инструментов. Другой актор — TA866 — проводит уникальные кампании, где также был зафиксирован Rhadamanthys.

Интеграция Rhadamanthys в деятельность этих акторов подчёркивает его приоритетный статус для отслеживания аналитиками по кибербезопасности.

Операция «Эндшпиль» — что произошло

13 ноября 2025 года международные правоохранительные органы провели операцию «Эндшпиль», в ходе которой были демонтированы ключевые серверы, управлявшие инфраструктурой Rhadamanthys. Операция затронула также смежные сервисы экосистемы, в том числе прокси-бот Elysium.

«Сбой направлен на создание недоверия и оперативных трудностей для вовлечённых преступников, вынуждая их адаптировать вредоносное ПО или отказаться от него».

Эффект операции двояк:

  • краткосрочный — снижение доступности инфраструктуры и усложнение операций для действующих филиалов;
  • долгосрочный — возможный переход операторов на альтернативные решения (например, Amatera Stealer или CastleRAT), а также рост внутриподпольного контроля и ужесточение мер по верификации поставщиков вредоноса.

Последствия для отрасли и советы по защите

Операция показала, что целенаправленные действия правоохранительных органов способны временно дезорганизовать крупные криминальные экосистемы. В то же время такие сбои часто сопровождаются адаптацией и миграцией операторов на другие инструменты и каналы распространения.

Ключевые выводы и рекомендации для организаций:

  • усилить мониторинг фишинговых кампаний и скомпрометированных веб-страниц;
  • внедрять многофакторную аутентификацию и регулярно проверять учетные данные на предмет утечек;
  • контролировать и сегментировать доступы, чтобы минимизировать ущерб при компрометации конечных точек;
  • отслеживать изменения на подпольных рынках и в поведении Threat Actors, включая появление альтернативных stealer-решений;
  • поддерживать оперативные контакты с CERT/локальными правоохранительными органами и проводить учения по инцидент-реакции.

Что дальше

Rhadamanthys остаётся важным индикатором для наблюдения: его модульность и коммерческая доступность позволяют быстро распространять функциональные обновления через экосистему филиалов. Пока следственные и правоприменительные меры продолжают оказывать давление на инфраструктуру, организациям важно оставаться в проактивном состоянии — фиксировать малейшие отклонения в поведении конечных точек, оперативно реагировать на фишинговые инциденты и повышать уровень осведомлённости сотрудников о социальной инженерии.

Наблюдение за развитием событий в подполье, анализ смены инструментов (например, переход на Amatera Stealer или CastleRAT) и обновление средств детекции помогут снизить риск успешных атак в ближайшие месяцы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Rhadamanthys: модульный MaaS-стиллер и влияние операции «Эндшпиль»".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются