Rhadamanthysインフォスティーラー混乱、犯罪者がサーバーアクセス喪失

Source:https://www.bleepingcomputer.com/news/security/rhadamanthys-infostealer-disrupted-as-cybercriminals-lose-server-access/

🛡 概要

情報窃取型マルウェア Rhadamanthys の運用が混乱し、マルウェア・アズ・ア・サービスの利用者が自分たちのウェブパネルやサーバーへアクセスできない事象が相次いで報告されています。複数の監視研究者によれば、EUデータセンターに置かれたパネルへドイツのIPからのアクセス痕跡が見られた後、SSHが証明書必須となり従来のパスワードで入れなくなったとの投稿が犯罪フォーラム上で共有されました。Tor上の関連サイトもオフラインですが、押収バナーなどは確認されていません。なお、法執行機関の関与は現時点で公的に確認されていません。Operation Endgame の続報と関連する可能性が指摘されています。CVSS: 該当なし（脆弱性ではなく犯罪インフラ側の混乱事象）。

🔍 技術詳細

Rhadamanthys はブラウザ、メールクライアント、各種アプリから資格情報や認証クッキーを盗むインフォスティーラーです。配布はクラック品やライセンス回避ツールに偽装したアーカイブ、動画サイトの説明欄リンク、検索広告の悪用（マルバタイジング）などユーザー誘導型の手口が中心です。Chromium系ブラウザでは、Login Data（SQLite）やCookies（SQLite）ファイル、Local State 内の暗号鍵を読み出し、WindowsではDPAPI（CryptUnprotectData）により復号して平文のID/パスワードやセッションクッキーを抽出します。収集データはHTTP(S)ベースのC2やウェブパネルに送信され、運用者はサブスクリプションで提供されるパネルから一括閲覧・検索します。今回の混乱では、パネルをホストするサーバーのSSHが証明書認証に切り替わった、rootパスワードが無効化された、Tor上のサイトがアクセス不能になった、といった被害申告が並び、特に自動セットアップの『スマートパネル』経由の導入環境で影響が大きいとされます。ただし、これらの変更が誰により実施されたかは未確定です。いずれにせよ、過去に既に窃取・送信された認証情報が第三者の手に渡っているリスクは依然として残るため、組織側は予防・検知・封じ込めを直ちに進める必要があります。

⚠ 影響

ブラウザ保存のID/パスワード流出により、SaaS・社内ポータル・メール等への不正ログイン
セッションクッキー窃取によるMFAバイパスやクラウド管理コンソール乗っ取り
メールボックス侵害からの二次攻撃（スレッドハイジャック、請求書詐欺）
開発者端末が侵害された場合、リポジトリやAPIキー、クラウドクレデンシャル流出
今回の運用混乱は犯罪側の可用性低下を示すものの、既に流出済みデータの悪用リスクは継続

🛠 対策

アイデンティティ防御: すべての対象アカウントで強制パスワード変更・SSOの全セッション無効化・認証クッキー／リフレッシュトークンの失効を実施。高リスクユーザーにはFIDO2/WebAuthnを必須化。
ブラウザ衛生: 企業管理のブラウザプロファイルで保存パスワードを禁止または厳格に制限。サインアウトとキャッシュ・クッキーの強制削除を配布。
配布経路遮断: 広告ベースのダウンロードをWebフィルタで制限、検索広告クリックのサンドボックス実行、YouTube等の外部リンクにレピュテーション検査を適用。
EDR/AV: 主要インフォスティーラーの挙動検知ポリシーを高に設定。未知バイナリは制限付きで実行（Application Control/SmartScreen/WDAC）。
ネットワーク: 不要なアウトバウンドPOSTをプロキシで制御、Tor出口ノード・未知ホスティング宛の通信をデフォルト拒否＋例外運用。
インシデント対応: 端末隔離、ボラタイルメモリ採取、タイムライン化、アカウント・トークン・APIキーのローテーション、影響システムのリイメージ。

📌 SOC視点

プロセス監視: ブラウザ以外のプロセスがChromeのLogin Data、Cookies、Local State（%LOCALAPPDATA%\Google\Chrome\User Data\）やFirefoxのlogins.json、cookies.sqliteにアクセスする事象を検知。
API使用: 非ブラウザプロセスによるCryptUnprotectDataの集中呼び出し、DPAPIマスターキーへのアクセスの相関検知。
ネットワーク: 短時間で多数の資格情報を含むHTTP(S) POST送信、未知ドメインへの通信スパイク、Tor関連通信の発生を検知・遮断。
初期侵入兆候: 新規ダウンロード直後の自己解凍・自己署名バイナリ実行、ZIP内のLNKやスクリプト起点の子プロセス連鎖。
封じ込め手順: 感染端末の強制隔離、IdPでのグローバルサインアウト、メールと主要SaaSのセッションクッキー失効、パスワードリセットとMFA再登録。

📈 MITRE ATT&CK

TA0001 Initial Access: T1189 Drive-by Compromise（検索広告や動画リンク経由でユーザーを誘導）
TA0002 Execution: T1204.002 User Execution: Malicious File（クラック偽装ファイルの手動実行）
TA0006 Credential Access: T1555.003 Credentials from Web Browsers（ブラウザ保存資格情報の取得）、T1539 Steal Web Session Cookie（セッションクッキー窃取）
TA0011 Command and Control: T1071.001 Application Layer Protocol: Web Protocols（HTTP(S)でのC2/パネル送信）
TA0010 Exfiltration: T1041 Exfiltration Over C2 Channel（収集データの送出）
TA0042 Resource Development: T1608.006 Search Engine Optimization Poisoning（SEOポイズニングでの配布強化）
TA0005 Defense Evasion: T1036 Masquerading（正規ツールやクラック名での偽装）

根拠: 本件はクラックや広告を起点とするユーザー実行で侵入し、ブラウザの資格情報・クッキーを窃取してウェブパネルへ送信する典型的なインフォスティーラー運用に合致します。

🏢 組織規模別助言

小規模（〜50名）: ブラウザ保存パスワードの全面禁止、広告配信サイトの業務端末からのアクセス制限、MFA導入とEDRのマネージド運用を優先。
中規模（50〜500名）: IdP連携の強制再認証ポリシー、プロキシでのPOST制御とDLP、EDRのアラートに対する24時間一次対応体制を整備。
大規模（500名以上）: ハイリスクユーザーの連続モニタリング、ブラウザ隔離（RBI）の段階導入、トークン失効APIの自動化、脅威ハンティングでクッキー窃取のTTPを継続探索。

🔎 類似事例

Operation Endgame による TrickBot、IcedID、Pikabot、Bumblebee、DanaBot、SmokeLoader、SystemBC、AVCheck などのインフラ妨害
マルバタイジングとSEOポイズニングを悪用した情報窃取マルウェア配布キャンペーン
該当CVEなし（本件はマルウェア運用の混乱であり、特定の製品脆弱性悪用は示されていない）