ESET’teki siber güvenlik analistleri, siber suç imparatorluğunun çöktüğü Hollanda liderliğindeki bir operasyonun ardından RedLine Stealer operasyonunun ve onun Meta olarak bilinen klonunun iç işleyişine derinlemesine bir bakış yayınladı.
Magnus Operasyonu, Hollanda Ulusal Polis gücünün Avrupa Birliği’nin desteğiyle ve FBI ile Birleşik Krallık Ulusal Suç Teşkilatı (NCA) gibi diğer kurumlarla birlikte çalışarak kötü şöhretli bilgi hırsızlarının altyapısını çökertmesine tanık oldu.
Eylem, başlangıçta Hollanda’daki yetkililere bazı kötü amaçlı yazılım altyapısının kendi yetki alanlarında barındırıldığını bildiren ESET’in geçen yıl hedeflenen bir ön operasyonda yer alarak önemli bir katkıda bulunduğu uzun bir soruşturmanın doruk noktasıydı. çetenin GitHub depolarını bir “sonsuz nokta” kontrol mekanizması olarak kullanma yeteneği.
Kapsamlı bir dosyada ESET, Magnus Operasyonu öncesinde kötü amaçlı yazılımların kaynak kodu ve arka uç altyapısı üzerinde kapsamlı bir analiz gerçekleştirdikten sonra artık hem Redline hem de Meta’nın gerçekten aynı yaratıcıyı paylaştığını kesin olarak doğrulayabildiğini söyledi. , ve operasyonu kontrol etmek için kullanılan 1000’den fazla benzersiz IP adresini belirledi.
ESET araştırmacısı Alexandre Côté Cyr, “RedLine kontrol panellerini barındırmak için kullanılan 1000’den fazla benzersiz IP adresini tespit edebildik” dedi.
“Bazı örtüşmeler olsa da bu, RedLine MaaS abonelerinin yaklaşık 1000 civarında olduğunu gösteriyor [malware as a service]diye ekledi.
“Ayrıntılı olarak incelenen RedLine Stealer ESET’in 2023 sürümü, bileşenler arasındaki iletişim için Windows İletişim Çerçevesini kullanırken, 2024’teki en son sürüm ise REST API’yi kullanıyor.”
Küresel operasyon
ESET’in bulduğu IP adresleri dünya çapında dağılmış durumda, ancak çoğunlukla Almanya, Hollanda ve Rusya’da olmak üzere toplamın yaklaşık %20’sini oluşturuyor. Yaklaşık %10’u Finlandiya ve ABD’de bulunuyordu.
ESET’in araştırması aynı zamanda çok sayıda farklı arka uç sunucusunu da tespit etti; bunların yaklaşık %33’ü Rusya’da, Çekya, Hollanda ve Birleşik Krallık’ta ise yaklaşık %15’ti.
RedLine Stealer neydi?
Sonuçta RedLine ve Meta operasyonlarının amacı, kurbanlarından kripto para cüzdanları, kredi kartı bilgileri, kayıtlı kimlik bilgileri ve masaüstü VPN’ler, Discord, Telegram ve Steam gibi platformlardan gelen veriler de dahil olmak üzere çok büyük miktarda veri toplamaktı.
Operatörlerin müşterileri, ESET’in kurumsal terimlerle “anahtar teslimi bilgi hırsızlığı çözümü” olarak tanımladığı ürüne çeşitli çevrimiçi forumlar veya Telegram kanalları aracılığıyla erişim satın aldı. Aylık süreli abonelik veya ömür boyu lisans arasından seçim yapabilirler ve paralarının karşılığında, kötü amaçlı yazılım örnekleri oluşturacak ve kişisel bir komuta ve kontrol sunucusu olarak görev yapacak bir kontrol paneli alabilirler.
Côté Cyr, “Hazır bir çözüm kullanmak, bağlı kuruluşların RedLine Stealer’ı daha büyük kampanyalara entegre etmesini kolaylaştırıyor” dedi. “Bazı dikkate değer örnekler arasında 2023’te ChatGPT’nin ücretsiz indirilmesi gibi davranmak ve 2024’ün ilk yarısında video oyunu hileleri gibi görünmek yer alıyor.”
RedLine, yayından kaldırılmadan önce zirve noktasında, nispeten çok sayıda bağlı kuruluşla muhtemelen faaliyetteki en yaygın bilgi hırsızıydı. Ancak ESET, MaaS girişiminin muhtemelen çok az sayıda kişi tarafından yönetildiğini söyledi.
En önemlisi, kötü amaçlı yazılımların yaratıcısı Maxim Rudometov’un ABD’de tespit edilmesi ve suçlanması.