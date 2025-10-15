チェック・ポイント・ソフトウェア・テクノロジーズ株式会社

サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point(R) Software Technologies Ltd.(https://www.checkpoint.com/)、NASDAQ：CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、新たな検出回避技術を備えた情報窃取型マルウェア「Rhadamanthys」の新バージョンを確認したことを明らかにしました。

主なハイライト

- Rhadamanthys 0.9.2 がリリース: 人気の情報窃取型マルウェアの新バージョンでは、既存のツールを無効化する変更と、新たな検出回避技術が追加されました。- プロフェッショナル化が進行: 攻撃者グループは RHAD Security / Mythical Origin Labs としてリブランディングを行い、複数の製品を提供する洗練されたウェブサイトを立ち上げました。- 主な技術的変更点: PNG形式を利用した新しいペイロード配信手法、暗号化の更新、より高度なサンドボックスを検出する機能、設定可能なプロセスインジェクション、そしてLedger Live暗号通貨ウォレットを標的に追加しました。- 重要性: 従来の検出手法ではこの亜種を見逃す可能性があり、企業や個人に対する脅威として継続的に拡大しています。- セキュリティ担当者への影響: CPRは、世界中のセキュリティ担当者がRhadamanthys 0.9.xを効果的に分析・ブロックできるよう、最新のシグネチャ、調査結果、オープンソースツールを提供しています。

はじめに

新たにリリースされたRhadamanthys(https://research.checkpoint.com/2023/from-hidden-bee-to-rhadamanthys-the-evolution-of-custom-executable-formats/) 0.9.2は、既存のツールを意図的に無効化し、検出を回避する新たな手法を導入した情報窃取マルウェアです。従来の手法に依存するセキュリティ担当者は、マルウェアの動作を把握することが難しくなっています。サイバーセキュリティチームにとって、これらの変更はステルス性の向上、攻撃範囲の拡大、そしてRhadamanthysが実際の被害者に影響を与える新たな手段を意味します。

CPRは、Rhadamanthysの初期段階から追跡(https://research.checkpoint.com/2023/rhadamanthys-v0-5-0-a-deep-dive-into-the-stealers-components/)を続けてきました。最新の分析では、マルウェアの最新の変更点、それがセキュリティ担当者にとって重要な理由、そしてコミュニティが先手を打つために利用できる更新されたツールについて詳述しています。本リリースでは、調査結果を要約し、セキュリティ担当者が取るべき実践的なステップを示すとともに、Check Pointのお客様がすでにどのように保護されているかをご紹介します。

Rhadamanthysとは

Rhadamanthysは2022年末にアンダーグラウンドフォーラムで初めて登場し、瞬く間に最も広く使用される情報窃取型マルウェアの一つとなりました。サブスクリプションサービスとして販売されており、月額299ドルからエンタープライズパッケージまでの価格帯が設定されているため、幅広い攻撃者が利用できるようになっています。

このマルウェアは、認証情報、ブラウザデータ、ファイル、暗号通貨ウォレットを窃取する能力を持っています。時間の経過とともに、攻撃者はその周辺にエコシステムを構築し、ブランディング(「RHAD Security」)、プロフェッショナルな外観のウェブサイト、さらにはサポートチャネルまで整備しています。つまり、Rhadamanthysは単なるマルウェアではなく、本格的な犯罪ビジネス製品なのです。

ブランディングの強化

Rhadamanthysは当初、アンダーグラウンドフォーラムを通じて宣伝されていましたが、攻撃者はすぐにTelegramサポートチャネル、Torサイト、直接の問い合わせ窓口へと拡大していきました。今回の新バージョンのリリースに伴い、ウェブサイトは完全にリニューアルされ、洗練されたプロフェッショナルな外観となっています。グループは 「RHAD Security」 および 「Mythical Origin Labs」 というブランド名を掲げており、影で活動する犯罪グループというよりも、正規のソフトウェアベンダーを装おうとする姿勢が表れています。新しいサイトではRhadamanthysの宣伝だけでなく、追加製品の予告も行われており、拡大する製品ラインナップという印象を強めています。

Rhadamanthys 0.9.2の新機能

最新リリースでは、以下のような重要な変更が加えられています。

- 既存ツールの無効化: Rhadamanthys独自のファイル形式と文字列暗号化が更新されたため、既存の多くのセキュリティツールや調査ツールが機能できなくなりました。- 回避技術の高度化: サンドボックスや調査環境をより効果的に回避できるようになり、偽装ファイルや仮想化環境の特徴を検知します。- 新しい配信方法: 従来のステガノグラフィ技術(オーディオや画像ファイルに次段階のペイロードを隠す手法)に代わり、ノイズの多いPNGファイルを使用してペイロードを配信するようになりました。- 柔軟なインジェクション: 設定可能な正規Windowsプロセスのリストから選択して内部で実行できるため、マルウェアの活動特定が困難になっています。- 新しいアプリの標的化: 人気の暗号通貨ウォレットLedger Liveからのデータ窃取に対応し、デジタル資産を狙う攻撃範囲が拡大しました。- 被害者情報の詳細収集: 新しいブラウザモジュールが、被害者のシステムとブラウザ環境に関する詳細な情報を収集します。

これらの変更は、Rhadamanthysを根本的に変えるものではありませんが、継続的な改良とカスタマイズ、そして防御対策の先を行こうとする着実な進化を示しています。

なぜ重要なのか

Rhadamanthysはもはやニッチなツールではありません。現在流通している情報窃取型マルウェアの中でも、最も人気が高く、継続的に使用されているものの一つであり、ClickFixなどの最近のキャンペーンでも利用されています。攻撃者グループは明らかにこれを長期的なビジネスと捉えており、プロフェッショナルな運営体制の構築に力を入れています。

セキュリティ担当者にとって、これは以下を意味します。

- 脅威の持続性: Rhadamanthysが近いうちに消滅する可能性は低いでしょう。- 検出の空白: 従来のツールや検出手法では、バージョン0.9.2に対応できない可能性があります。- リスクの拡大: プラグインの増加とステルス性の向上により、被害を受ける可能性のある対象者や業界の範囲が拡大し続けています。

セキュリティ担当者が取るべき対策

セキュリティ担当者は以下の対策を実施すべきです。

- 新しいファイル形式、難読化、RC4暗号化された文字列に対応できるよう、検出ツールを更新する。- マルウェア配信に関連する不審なPNGファイルのダウンロードについて、ネットワークトラフィックを監視する。- 一般的なWindowsバイナリへの不審なインジェクションがないか、プロセスを監視する。- マルウェアが生成する特有のmutexパターンやマシンIDなどの痕跡を探す。

CPRは、すべてのセキュリティ担当者がRhadamanthys 0.9.xに先手を打てるよう、オープンソースツール(https://gist.github.com/hasherezade/371b517a24fd546dd5a89ed386ec0f5d)を公開しました。これらのツールにより、アナリストは新しい形式を解析し、文字列を復号化し、隠されたモジュールを展開することができます。

チェック・ポイントによる保護

チェック・ポイントの保護機能は、すでに複数の段階でRhadamanthysを検知・ブロックしています。

- Threat EmulationおよびThreat Extraction(https://www.checkpoint.com/jp/ai/threatcloud/)：悪意のあるファイルを実行前に停止します。- ネットワーク保護機能：Rhadamanthysのコマンド&コントロール通信を識別してブロックします。- エンドポイント(https://www.checkpoint.com/jp/harmony/endpoint/)保護機能：プロセスインジェクションの試みを防止し、マルウェアの動作を認識します。- 最新シグネチャ：新しい0.9.x亜種を検出するために追加されており、マルウェアの進化に対応した保護を提供します。

まとめ

Rhadamanthys 0.9.2は、現代のサイバー犯罪がマーケティング、価格設定、継続的なアップデートを伴うビジネスとして運営されていることを改めて示すものです。しかし、最新の保護機能およびツールを活用することで、セキュリティコミュニティはこの進化する脅威に対応し、その影響を軽減することができます。

詳細な技術解析と最新ツールのダウンロードは、こちら(https://research.checkpoint.com/2025/rhadamanthys-0-9-x-walk-through-the-updates/)からご覧いただけます

本プレスリリースは、米国時間2025年10月3日に発表されたブログ(https://blog.checkpoint.com/research/rhadamanthys-0-9-2-a-stealer-that-keeps-evolving/)（英語）をもとに作成しています。



