Redline 和 Meta 都是信息竊取者。作爲一種惡意軟件,可以從受感染設備上的浏覽器竊取存儲的信息,包括憑據、身份驗證 cookie、浏覽曆史記錄、敏感文檔、SSH 密鑰和加密貨币錢包。這些數據随後被威脅者出售或用于助長大規模網絡漏洞,從而導緻數據盜竊、勒索軟件攻擊和網絡間諜活動。
近期,荷蘭國家警察在 " 馬格努斯行動 " 中查獲了 Redline 和 Meta infostealer 惡意軟件操作的網絡基礎設施,并悉數掌握網絡犯罪分子手中的數據。
此次行動在國際執法合作夥伴的幫助下進行,這些合作夥伴包括聯邦調查局 ( FBI ) 、海軍罪案調查處 ( NCIS ) 、美國司法部、歐洲司法組織 ( Eurojust ) 、國家犯罪局 ( NCA ) 以及葡萄牙和比利時的警察部隊。
目前該組織已經宣布針對 Redline 和 Meta 用戶進行 " 最終更新 ",提醒他們現在注意自己的帳戶憑據、IP 地址、活動時間戳、注冊詳細信息等。
這表明調查人員掌握了可用于追蹤使用該惡意軟件的網絡犯罪分子的證據,因此未來很可能會進行逮捕和起訴。
此外,當局聲稱他們可以訪問這兩種惡意軟件的源代碼,包括許可證服務器、REST-API 服務、面闆、竊取程序二進制文件和 Telegram 機器人。
Meta 和 Redline 共享相同的基礎設施,因此這兩個項目背後可能有相同的創建者或運營者。Redline 和 Meta 都是通過 Telegram 上的機器人出售的,這些機器人現已被删除。
NCA 國家網絡犯罪部門負責人、副主任 Paul Foster 表示:" 這些服務得到了犯罪生态系統的支持,該生态系統包括一系列工具、基礎設施、金融服務、市場和論壇,諸如此類的國際合作對于識别和消除該生态系統的各個要素至關重要,并最終使網絡犯罪分子更難以實施。"
警方警告黑客
Emotet 僵屍網絡遭到破壞後,荷蘭警方在黑客論壇上創建了論壇帳戶,以警告網絡犯罪分子他們正在受到密切監控。
2022 年 RaidForums 論壇被查封後,荷蘭警方向 RaidForums 會員的未成年人發送電子郵件和信件,并親自進行 " 制止 " 電話,警告他們的行爲是非法的。
目前,荷蘭警方正在采用與 " 馬格努斯行動 " 相同的策略,創建論壇帳戶并發送直接消息,警告威脅者他們正在受到密切監視。
XSS 黑客論壇上的 "Operation Magnus" 帖子
eSentire 威脅情報研究員還分享了荷蘭警方向網絡犯罪分子發送的直接消息的屏幕截圖,警告他們這一行動。
網絡安全的危害
在過去的幾年中,信息竊取惡意軟件已成爲企業面臨的一個大問題,因爲被盜的憑據通常在暗網上出售或免費發布,以在黑客社區中獲得聲譽。
涉及信息竊取惡意軟件的惡意活動已經變得越來越多,威脅者通過零日漏洞、虛假 VPN、GitHub 問題的虛假修複,甚至 StackOverflow 上來瞄準受害者。
Redline 是攻擊中最常見的信息竊取程序之一,它于 2020 年推出,此後導緻受害者的密碼、身份驗證 cookie、加密貨币錢包和其他敏感數據廣泛被盜。
Meta,又名 MetaStealer,是 2022 年宣布的一個較新的 Windows 信息竊取惡意軟件項目,作爲 Redline 的改進版本進行銷售。從 "Operation Magnus" 的公告中,我們現在了解到 Meta 很可能是由與 Redline 相同的開發人員創建的。
值得注意的是,被破壞的 Meta 操作與針對 macOS 設備的 MetaStealer 惡意軟件不同。 Redline 和 MetaStealer 在 2024 年總共竊取了 2.27 億個憑證(唯一的電子郵件和密碼對)。
記錄的未來身份情報收集指标描繪了整個活動的可怕現象,表明 Redline 惡意軟件自首次啓動以來已竊取了近十億個憑證。
Specops 和 KrakenLabs 的聯合報告還指出,威脅者在短短六個月内就利用 Redline 竊取了超過 1.7 億個密碼。然後,這些被盜的憑據會被使用或出售給其他威脅者,作爲網絡攻擊的一部分,以破壞企業網絡。
被盜的憑證已被用來爲近期一些最重大的違規行爲提供了幫助,包括大規模的 Snowflake 數據盜竊攻擊和 Change Healthcare 勒索軟件攻擊,這些攻擊對美國醫療保健系統造成了巨大的破壞。
