Redline 和 Meta 都是信息窃取者。作为一种恶意软件,可以从受感染设备上的浏览器窃取存储的信息,包括凭据、身份验证 cookie、浏览历史记录、敏感文档、SSH 密钥和加密货币钱包。这些数据随后被威胁者出售或用于助长大规模网络漏洞,从而导致数据盗窃、勒索软件攻击和网络间谍活动。
近期,荷兰国家警察在“马格努斯行动”中查获了 Redline 和 Meta infostealer 恶意软件操作的网络基础设施,并悉数掌握网络犯罪分子手中的数据。
此次行动在国际执法合作伙伴的帮助下进行,这些合作伙伴包括联邦调查局 (FBI)、海军罪案调查处 (NCIS)、美国司法部、欧洲司法组织 (Eurojust)、国家犯罪局 (NCA) 以及葡萄牙和比利时的警察部队。
目前该组织已经宣布针对 Redline 和 Meta 用户进行“最终更新”,提醒他们现在注意自己的帐户凭据、IP 地址、活动时间戳、注册详细信息等。
这表明调查人员掌握了可用于追踪使用该恶意软件的网络犯罪分子的证据,因此未来很可能会进行逮捕和起诉。
此外,当局声称他们可以访问这两种恶意软件的源代码,包括许可证服务器、REST-API 服务、面板、窃取程序二进制文件和 Telegram 机器人。
Meta 和 Redline 共享相同的基础设施,因此这两个项目背后可能有相同的创建者或运营者。Redline 和 Meta 都是通过 Telegram 上的机器人出售的,这些机器人现已被删除。
NCA 国家网络犯罪部门负责人、副主任 Paul Foster 表示:“这些服务得到了犯罪生态系统的支持,该生态系统包括一系列工具、基础设施、金融服务、市场和论坛,诸如此类的国际合作对于识别和消除该生态系统的各个要素至关重要,并最终使网络犯罪分子更难以实施。”
Emotet 僵尸网络遭到破坏后,荷兰警方在黑客论坛上创建了论坛帐户,以警告网络犯罪分子他们正在受到密切监控。
2022年RaidForums论坛被查封后,荷兰警方向RaidForums会员的未成年人发送电子邮件和信件,并亲自进行“制止”电话,警告他们的行为是非法的。
目前,荷兰警方正在采用与“马格努斯行动”相同的策略,创建论坛帐户并发送直接消息,警告威胁者他们正在受到密切监视。
eSentire 威胁情报研究员还分享了荷兰警方向网络犯罪分子发送的直接消息的屏幕截图,警告他们这一行动。
在过去的几年中,信息窃取恶意软件已成为企业面临的一个大问题,因为被盗的凭据通常在暗网上出售或免费发布,以在黑客社区中获得声誉。
涉及信息窃取恶意软件的恶意活动已经变得越来越多,威胁者通过零日漏洞、虚假 VPN、GitHub 问题的虚假修复,甚至 StackOverflow 上来瞄准受害者。
Redline 是攻击中最常见的信息窃取程序之一,它于 2020 年推出,此后导致受害者的密码、身份验证 cookie、加密货币钱包和其他敏感数据广泛被盗。
Meta,又名 MetaStealer,是 2022 年宣布的一个较新的 Windows 信息窃取恶意软件项目,作为 Redline 的改进版本进行销售。从“Operation Magnus”的公告中,我们现在了解到 Meta 很可能是由与 Redline 相同的开发人员创建的。
值得注意的是,被破坏的 Meta 操作与针对 macOS 设备的 MetaStealer 恶意软件不同。Redline 和 MetaStealer 在 2024 年总共窃取了 2.27 亿个凭证(唯一的电子邮件和密码对)。
记录的未来身份情报收集指标描绘了整个活动的可怕现象,表明 Redline 恶意软件自首次启动以来已窃取了近十亿个凭证。
Specops 和 KrakenLabs 的联合报告还指出,威胁者在短短六个月内就利用 Redline 窃取了超过 1.7 亿个密码。然后,这些被盗的凭据会被使用或出售给其他威胁者,作为网络攻击的一部分,以破坏企业网络。
被盗的凭证已被用来为近期一些最重大的违规行为提供了帮助,包括大规模的 Snowflake 数据盗窃攻击和 Change Healthcare 勒索软件攻击,这些攻击对美国医疗保健系统造成了巨大的破坏。
参考及来源:https://www.bleepingcomputer.com/news/legal/redline-meta-infostealer-malware-operations-seized-by-police/