Bilgi hırsızları ve onları kullanan bilgisayar korsanları, güvenlik önlemlerinin bir adım önünde yer alacak şekilde gelişiyor. Yeni güvenlik açıklarından ve tekniklerden yararlanmaya hızla adapte oluyorlar, bu da savunmacıların ayak uydurmasını zorlaştırıyor.
Bugün (7 Kasım 2023), araştırmacılar Herhangi bir Çalıştırma tekrar gördü veri çalan, mali kayba neden olan ve hem kurumsal hem de kişisel cihazları hedef alan faaliyet.
HERHANGİ BİR ÇALIŞMA kullanıcıların sınırsız sayıda kötü amaçlı dosyayı ve bağlantıyı ücretsiz olarak analiz etmesine olanak tanıyan etkileşimli bir kötü amaçlı yazılım sanal alanıdır.
Bilgi çalanların hızlı gelişimi, tehdit aktörlerinin kişisel bilgilerin çalınmasından finansal dolandırıcılığa ve casusluğa kadar çeşitli yasa dışı amaçları hedeflemesine olanak tanıyor.
RedLine Stealer, mali kayıplara ve veri sızıntılarına neden olan çok yönlü bir kötü amaçlı yazılımdır. Mart 2020’de ortaya çıkan sağlık ve imalat sektörlerini hedef alan bu program, COVİD-19 döneminde ivme kazandı ve hâlâ gelişiyor.
1 Temmuz 2021’de gizlilik araçları sunan aldatıcı bir web sitesinde keşfedildi, ancak yalnızca kötü amaçlı yazılım dağıttı.
RedLine Kötü Amaçlı Yazılımı
RedLine bilgi hırsızı şifreler, kredi kartları ve donanım ayrıntıları dahil olmak üzere kullanıcı bilgilerini çalar. Dosya aktarımlarını etkinleştirerek ve komutları yürüterek Raccoon veya Pony gibi davranır; Bunun yanı sıra, tehdit aktörleri bunu şu amaçlarla kullanıyor: –
- Fidye yazılımı
- RAT’lar
- Truva atları
- Madenciler
Yeraltı forumlarından kolayca erişilebilen RedLine Stealer, 100 ile 200 dolar arasında değişen hizmet ve abonelik modelleriyle sunuluyor.
Fidye yazılımı kadar karmaşık olmasa da deneyimli bir programcı tarafından yazılan yüksek kaliteli bir .Net kötü amaçlı yazılımıdır. Tehdit aktörleri, ikincil veriler ve gelişmiş filtrelemeyle bunu sürekli olarak günceller.
Yürütme Süreci
Hırsızın yürütme süreci genellikle basittir; ana ikili dosyanın görevi devraldığı, bazen ana sürecin yerini aldığı veya başka bir ikili dosya tarafından bırakıldığı durumlarda.
RedLine, bir alt süreç ortaya çıktığında virüslü sistemden özel bilgiler toplamaya başlar ve bunu Komuta ve Kontrol paneline iletir.
Veri toplayıp ilettikten sonra çalan kişi sonlandırılır ve ardından çalınan bilgi aşağıdaki formatların her ikisinde de gönderilir: –
- Şifrelenmemiş
- Base64 kodlu
Dağıtım
Saldırganlar virüs dağıtımında yaratıcılıktan yoksundur ancak e-posta kampanyalarında sosyal mühendislik, sahte güncellemeler ve spam gibi denenmiş ve doğrulanmış yöntemleri etkilidir.
Bunun dışında çeşitli dosya formatları kullanıyorlar ve aşağıda bunlardan bahsettik: –
- Ofis
- PDF’ler
- RAR ve ZIP
- Yürütülebilir dosyalar
- JavaScript
RedLine’a karşı korunmak, e-posta ekleri ve bağlantılarına dikkat etmeyi gerektirir. Güvenilir kaynaklar bile enfeksiyona ve kimlik bilgileri hırsızlığına yol açabilir.
IOC’leri doğrudan üzerinden entegre ederek SIEM ve diğer güvenlik sistemlerinizi genişletebilirsiniz. ANY.RUN sanal alanı.
ANY.RUN’un Tehdit İstihbaratı ürünlerini uygulamak basittir. Şirketin satış ekibiyle iletişime geçin daha fazla öğrenmek için.
IOC’ler
IP Adresleri:
- 77.91.68.6A8
- 155.94.208.76
- 80.76.51.172
- 194.49.94.11
- 185.157.120.4
- 193.161.193.99
- 149.202.0.242
- 5.42.65.101
- 65.108.69.168
- 185.215.113.44
- 94.142.138.4
- 95.217.14.200
- 91.103.252.3
- 147.185.221.180
- 45.137.22.168
- 185.222.58.55
- 185.222.58.238
- 45.9.20.20
- 45.150.67.103
- 217.114.43.193
Hash’ler:
- E201E3F7868A2EC461500A812C9A8F3A5F33903E532D3EE379504C6F9A529362
- 5BC50A23F7FDF3D6D192E5608744F508EA629D1073A28168FEE2E120EA97FBEA
- 4CDF57094405BC954210BE5C2FEF7C288DA7B9CE7E18B718692E2F49D53291A0
- DAD3101A9C6306078E8A9533F8FDA092CE4F03DFA873D9B68D67D765DD675E8E
- D7C5D3CDF0663F63B779AB907A97DF4453A40D35584A13EFBEF77AA4BDB7A1CE
- 55908054B66A55A322DC132E7B534E816E4139A9C55C9166638AE391B22BD159
- C290D6DD7997EB32A79CBBCD943C125C0680D5FCA875BE97EFA10071D2AA4916
- 7561B59E927A93903BB251AE960AD3F92308CA52CC6F085B4268669E84895749
- C66CA23727683C7F50DE1A826B74603CB54F537191B859C30A1BA19C8AF55E69
- 5D50A1577EE0791E7ABA6BF8E679B4795D533A3DAA54177CE8A0EC25CC8D3DF2
- 048321F1318126902A16B2355AD1DE6106FF8E12B0693C004B9B32C5EDE37727
- D1F956F356ECC94FB6128C489A768830BE48BC7BB163EF7C541369573034DD35
- C911AC775E74A5D1C218E24CF546A07FCB2E7494AF88F0F7DB723DFABC72D4ED
- 58CD452EB7E74F0B1AB92544652D5FCD22714438CD0A785F0D747CCF82BD5F98
- 9ABD0F1BF4E90840B378B72CAE05E7C799A77E92089DA0A1054118F5B6CE9260
- 15A03ADBC83FE2754E472E8727DEEC51BA44956D9735D68F09341B90519FC51A
- 68FDADD207C7C2BF63C80DF344230C5DDB732A36009E5A6129D1B0A0A17DB8A1
- 0B854A34DE71903E3153EFA7516EDA91F3EA16529D839643FD250C81DB78CD34
- D5B59CA310CB8CF2C43F565D8D74B4484D2A04957258469B4D67ACF3CA045D72
- DCECE61AED7806CF8292BAABB6FDA7C0BEDCA94B3626F4323B32D5574E11E792
Alanlar:
- 4.tcp.eu.ngrok.io
- 2.tcp.eu.ngrok.io
- 7.tcp.eu.ngrok.io
- 6.tcp.eu.ngrok.io
- 0.tcp.eu.ngrok.io
- 5.tcp.eu.ngrok.io
- mydesignht.onthewifi.com
- 6.tcp.ngrok.io
- 4.tcp.ngrok.io
- popshues.top
- afgantrophy.top
- vikaneleneer.shop
- isahelyria.site
- mcth.xyz
- copy-marco.gl.at.ply.gg
- siyatermi.duckdns.org
- raizen.serveftp.com
- gbsbreakes.com
- 0.tcp.in.ngrok.io
- jul-nelson.gl.at.ply.gg
URL’ler:
- http://194.49.94.11/
- http://45.137.22.168:55615/
- http://185.222.58.55:55615/