ABD Dışişleri Bakanlığı, kötü şöhretli Redline Infostealer Malware’in geliştiricisi ve yöneticisi olan Maxim Alexandrovich Rudometov’un tanımlanmasına veya konumuna yol açan bilgiler için 10 milyon dolara kadar bir ödül duyurdu.
Bu eylem, Adalet İçin Ödül Programı kapsamında, özellikle Bilgisayar Sahtekarlığı ve İstismar Yasası’nı (CFAA) ihlal ederek ABD kritik altyapısına karşı siber saldırılara katılan yabancı hükümetlerin yönetimi altında hareket eden bireyleri hedeflemektedir.
Küresel bir infostealer’ın teknik anatomisi
İlk olarak 2020’nin başlarında gözlemlenen Redline, hızla dünya çapında en yaygın bilgi çalan kötü amaçlı yazılım ailelerinden biri oldu.
.png
)
.NET ile yazılan Redline, bir hizmet olarak kötü amaçlı yazılım (MAAS) modeli aracılığıyla dağıtılır ve bağlı kuruluşların lisans satın almasına ve kampanyalarını başlatmasına izin verir.
Kötü amaçlı yazılım, yeraltı forumlarında ve telgraf kanallarında, genellikle lisans başına 100-150 dolar gibi satılır.
Temel Teknik Özellikler:
- Yapılandırma ve C2 İletişimi:
Redline, yapılandırmasını (C2 sunucu adresleri ve botnet kimlikleri dahil) Base64’te ek bir XOR şifreleme katmanı ile gömer. Yürütmede, komut ve kontrol (C2) sunucusuyla bir bağlantı kurmak için bu yapılandırmayı şifresini çözer. C2 ulaşılamazsa, Redline bir anti-sandbox tekniği olarak hizmet ederek yürütmeyi durdurur. csharp// Pseudocode for decrypting configuration string base64Config = GetEmbeddedConfig(); byte[] xorDecoded = XOR(base64Config, "Reshipment"); string finalConfig = Base64Decode(xorDecoded); - Ev sahibi profil oluşturma:
Windows Management Enstrümantasyonundan (WMI) yararlanan Redline, kapsamlı ana bilgisayar verileri toplar: donanım kimliği, işletim sistemi sürümü, yüklü yazılım, çalışma işlemleri, güvenlik ürünleri, coğrafi konum ve daha fazlası. Bu bilgi daha fazla kötü niyetli eylemlere rehberlik eder ve tespitten kaçınmaya yardımcı olur. csharp// Query installed AV products ManagementObjectSearcher searcher = new ManagementObjectSearcher("SELECT * FROM AntivirusProduct"); foreach (ManagementObject obj in searcher.Get()) { Console.WriteLine(obj["displayName"]); } - Veri Defiltrasyonu:
Redline, çok çeşitli hassas verileri hedefler:- Tarayıcı kimlik bilgileri, çerezler, otomatik doldurma verileri ve kredi kartı infocryptocurrency cüzdan anahtarları (örneğin, armory, çıkış, ethereum) vpn kimlik bilgileri (nordvpn, protonvpn, openvpn) oyun oynama (buhar), mesajlaşma (uyumsuzluk, telgraf) ve ftp (ftp (ftp (ftp (ftp (ftp) deyişkiler ve ftp (ftp)
Kötü amaçlı yazılım, .NET’leri kullanarak canlı ekran görüntüleri de alabilir
CopyFromScreengözetim yeteneklerini daha da genişleten işlev. - Uzaktan yürütme ve kalıcılık:
Verileri çalmanın ötesinde, Redline ek yükleri indirebilir ve yürütebilir, URL’leri açabilir ve uzak komutları çalıştırabilircmd.exeetkili bir şekilde uzaktan erişim Truva atı (sıçan) olarak hareket eder. - Anti-Analiz Önlemleri:
Redline, sistem dilini ve coğrafi konumunu kontrol ederek genellikle eski Sovyetler Birliği ülkelerinde infazdan kaçınır. Ayrıca, algılamadan kaçmak için kodlanmış dizeler (Windows-1251) ve sandbox mantığı kullanır.
Küresel etki ve kolluk tepkisi
Redline, kütükleri sık sık karanlık ağ ve telgraf pazarlarında satılan milyarlarca kimlik ve çerezin çalınmasıyla bağlantılıdır.
Kötü amaçlı yazılım, bulut veritabanı sağlayıcılarına yapılan saldırılar ve kritik altyapı hedefleri de dahil olmak üzere birçok yüksek profilli ihlalde etkili oldu.
Ekim 2024’te, bizi, Hollanda, Belçika, İngiltere, Portekizli ve Avustralya yetkililerini içeren ortak bir eylem olan Magnus Operasyonu, Redline’ın altyapısını, sunucuları, web alanlarını ve satış ve destek için kullanılan telgraf kanallarını kesti.
Belçika’da iki bağlı kuruluş tutuklanırken, müfettişler Redline’ın kaynak koduna ve lisanslama sistemlerine erişti.
Ancak, 2022’de Rusya’nın Krasnodar kentinden Ukrayna’dan kaçan Rudometov, genel olarak kalıyor.
ABD hükümeti, Rudometov, ortakları veya devlet destekli Redline kullanımı hakkında bilgi sahibi olan herkesi Tor tabanlı bir raporlama kanalı aracılığıyla ipuçlarını göndermeye çağırıyor.
10 milyon dolarlık ödül, Redline’ın yarattığı tehdidin şiddetini ve operasyonlarını ortadan kaldırmak için küresel çabanın altını çiziyor.
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun