その他 – とれまがニュース

チェック・ポイント・リサーチ、新たな検出回避技術を備えた情報窃取型マルウェアの新バージョン「Rhadamanthys 0.9.2」を確認

• ツイート
• 
• 

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社

サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point(R) Software Technologies Ltd.、NASDAQ：CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、新たな検出回避技術を備えた情報窃取型マルウェア「Rhadamanthys」の新バージョンを確認したことを明らかにしました。

主なハイライト
- Rhadamanthys 0.9.2 がリリース: 人気の情報窃取型マルウェアの新バージョンでは、既存のツールを無効化する変更と、新たな検出回避技術が追加されました。- プロフェッショナル化が進行: 攻撃者グループは RHAD Security / Mythical Origin Labs としてリブランディングを行い、複数の製品を提供する洗練されたウェブサイトを立ち上げました。- 主な技術的変更点: PNG形式を利用した新しいペイロード配信手法、暗号化の更新、より高度なサンドボックスを検出する機能、設定可能なプロセスインジェクション、そしてLedger Live暗号通貨ウォレットを標的に追加しました。- 重要性: 従来の検出手法ではこの亜種を見逃す可能性があり、企業や個人に対する脅威として継続的に拡大しています。- セキュリティ担当者への影響: CPRは、世界中のセキュリティ担当者がRhadamanthys 0.9.xを効果的に分析・ブロックできるよう、最新のシグネチャ、調査結果、オープンソースツールを提供しています。
はじめに
新たにリリースされたRhadamanthys 0.9.2は、既存のツールを意図的に無効化し、検出を回避する新たな手法を導入した情報窃取マルウェアです。従来の手法に依存するセキュリティ担当者は、マルウェアの動作を把握することが難しくなっています。サイバーセキュリティチームにとって、これらの変更はステルス性の向上、攻撃範囲の拡大、そしてRhadamanthysが実際の被害者に影響を与える新たな手段を意味します。

CPRは、Rhadamanthysの初期段階から追跡を続けてきました。最新の分析では、マルウェアの最新の変更点、それがセキュリティ担当者にとって重要な理由、そしてコミュニティが先手を打つために利用できる更新されたツールについて詳述しています。本リリースでは、調査結果を要約し、セキュリティ担当者が取るべき実践的なステップを示すとともに、Check Pointのお客様がすでにどのように保護されているかをご紹介します。

Rhadamanthysとは
Rhadamanthysは2022年末にアンダーグラウンドフォーラムで初めて登場し、瞬く間に最も広く使用される情報窃取型マルウェアの一つとなりました。サブスクリプションサービスとして販売されており、月額299ドルからエンタープライズパッケージまでの価格帯が設定されているため、幅広い攻撃者が利用できるようになっています。

このマルウェアは、認証情報、ブラウザデータ、ファイル、暗号通貨ウォレットを窃取する能力を持っています。時間の経過とともに、攻撃者はその周辺にエコシステムを構築し、ブランディング(「RHAD Security」)、プロフェッショナルな外観のウェブサイト、さらにはサポートチャネルまで整備しています。つまり、Rhadamanthysは単なるマルウェアではなく、本格的な犯罪ビジネス製品なのです。

ブランディングの強化
Rhadamanthysは当初、アンダーグラウンドフォーラムを通じて宣伝されていましたが、攻撃者はすぐにTelegramサポートチャネル、Torサイト、直接の問い合わせ窓口へと拡大していきました。今回の新バージョンのリリースに伴い、ウェブサイトは完全にリニューアルされ、洗練されたプロフェッショナルな外観となっています。グループは 「RHAD Security」 および 「Mythical Origin Labs」 というブランド名を掲げており、影で活動する犯罪グループというよりも、正規のソフトウェアベンダーを装おうとする姿勢が表れています。新しいサイトではRhadamanthysの宣伝だけでなく、追加製品の予告も行われており、拡大する製品ラインナップという印象を強めています。
[画像: https://prcdn.freetls.fastly.net/release_image/21207/453/21207-453-5ef0b9fe3edd21e1a4f88d839c576d8a-766x448.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]


Rhadamanthys 0.9.2の新機能
最新リリースでは、以下のような重要な変更が加えられています。
- 既存ツールの無効化: Rhadamanthys独自のファイル形式と文字列暗号化が更新されたため、既存の多くのセキュリティツールや調査ツールが機能できなくなりました。- 回避技術の高度化: サンドボックスや調査環境をより効果的に回避できるようになり、偽装ファイルや仮想化環境の特徴を検知します。- 新しい配信方法: 従来のステガノグラフィ技術(オーディオや画像ファイルに次段階のペイロードを隠す手法)に代わり、ノイズの多いPNGファイルを使用してペイロードを配信するようになりました。- 柔軟なインジェクション: 設定可能な正規Windowsプロセスのリストから選択して内部で実行できるため、マルウェアの活動特定が困難になっています。- 新しいアプリの標的化: 人気の暗号通貨ウォレットLedger Liveからのデータ窃取に対応し、デジタル資産を狙う攻撃範囲が拡大しました。- 被害者情報の詳細収集: 新しいブラウザモジュールが、被害者のシステムとブラウザ環境に関する詳細な情報を収集します。
これらの変更は、Rhadamanthysを根本的に変えるものではありませんが、継続的な改良とカスタマイズ、そして防御対策の先を行こうとする着実な進化を示しています。

なぜ重要なのか
Rhadamanthysはもはやニッチなツールではありません。現在流通している情報窃取型マルウェアの中でも、最も人気が高く、継続的に使用されているものの一つであり、ClickFixなどの最近のキャンペーンでも利用されています。攻撃者グループは明らかにこれを長期的なビジネスと捉えており、プロフェッショナルな運営体制の構築に力を入れています。

セキュリティ担当者にとって、これは以下を意味します。
- 脅威の持続性: Rhadamanthysが近いうちに消滅する可能性は低いでしょう。- 検出の空白: 従来のツールや検出手法では、バージョン0.9.2に対応できない可能性があります。- リスクの拡大: プラグインの増加とステルス性の向上により、被害を受ける可能性のある対象者や業界の範囲が拡大し続けています。
セキュリティ担当者が取るべき対策
セキュリティ担当者は以下の対策を実施すべきです。
- 新しいファイル形式、難読化、RC4暗号化された文字列に対応できるよう、検出ツールを更新する。- マルウェア配信に関連する不審なPNGファイルのダウンロードについて、ネットワークトラフィックを監視する。- 一般的なWindowsバイナリへの不審なインジェクションがないか、プロセスを監視する。- マルウェアが生成する特有のmutexパターンやマシンIDなどの痕跡を探す。
CPRは、すべてのセキュリティ担当者がRhadamanthys 0.9.xに先手を打てるよう、オープンソースツールを公開しました。これらのツールにより、アナリストは新しい形式を解析し、文字列を復号化し、隠されたモジュールを展開することができます。

チェック・ポイントによる保護
チェック・ポイントの保護機能は、すでに複数の段階でRhadamanthysを検知・ブロックしています。
- Threat EmulationおよびThreat Extraction：悪意のあるファイルを実行前に停止します。- ネットワーク保護機能：Rhadamanthysのコマンド&コントロール通信を識別してブロックします。- エンドポイント保護機能：プロセスインジェクションの試みを防止し、マルウェアの動作を認識します。- 最新シグネチャ：新しい0.9.x亜種を検出するために追加されており、マルウェアの進化に対応した保護を提供します。
まとめ
Rhadamanthys 0.9.2は、現代のサイバー犯罪がマーケティング、価格設定、継続的なアップデートを伴うビジネスとして運営されていることを改めて示すものです。しかし、最新の保護機能およびツールを活用することで、セキュリティコミュニティはこの進化する脅威に対応し、その影響を軽減することができます。

詳細な技術解析と最新ツールのダウンロードは、こちらからご覧いただけます

本プレスリリースは、米国時間2025年10月3日に発表されたブログ（英語）をもとに作成しています。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X: https://x.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、デジタルトラストのリーディングプロバイダーとして、AIを駆使したサイバーセキュリティソリューションを通じて世界各国の10万を超える組織を保護しています。同社のInfinity Platformとオープンガーデン型エコシステムは、防止優先のアプローチで業界最高レベルのセキュリティ効果を実現しながらリスクを削減します。SASEを中核としたハイブリッドメッシュネットワークアーキテクチャを採用するInfinity Platformは、オンプレミス、クラウド、ワークスペース環境の管理を統合し、企業とサービスプロバイダーに柔軟性、シンプルさ、拡張性を提供します。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://x.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan

将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの将来の成長、業界におけるリーダーシップの拡大、株主価値の上昇、および業界をリードするサイバーセキュリティプラットフォームを世界の顧客に提供することについての当社の見通しが含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。ここでのリスクには、プラットフォームの機能とソリューションの開発を継続する当社の能力、当社の既存ソリューションおよび新規ソリューションにたいする顧客の受け入れと購入、ITセキュリティ市場が発展を続けること、他製品やサービスとの競争、一般的な市場、政治、経済、経営状況、テロまたは戦争行為による影響などが含まれています。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2024年4月2日にアメリカ合衆国証券取引委員会に提出した年次報告書（フォーム20-F）を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 （合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp

プレスリリース提供：PR TIMES

記事提供：PRTimes