今天小編分享的互聯網經驗:Redline、Meta infostealer 惡意軟體操作的網絡基礎設施被查獲,歡迎閱讀。
Redline 和 Meta 都是信息竊取者。作為一種惡意軟體,可以從受感染設備上的浏覽器竊取存儲的信息,包括憑據、身份驗證 cookie、浏覽歷史記錄、敏感文檔、SSH 密鑰和加密貨币錢包。這些數據随後被威脅者出售或用于助長大規模網絡漏洞,從而導致數據盜竊、勒索軟體攻擊和網絡間諜活動。
近期,荷蘭國家警察在 " 馬格努斯行動 " 中查獲了 Redline 和 Meta infostealer 惡意軟體操作的網絡基礎設施,并悉數掌握網絡犯罪分子手中的數據。
此次行動在國際執法合作夥伴的幫助下進行,這些合作夥伴包括聯邦調查局 ( FBI ) 、海軍罪案調查處 ( NCIS ) 、美國司法部、歐洲司法組織 ( Eurojust ) 、國家犯罪局 ( NCA ) 以及葡萄牙和比利時的警察部隊。
目前該組織已經宣布針對 Redline 和 Meta 用戶進行 " 最終更新 ",提醒他們現在注意自己的帳戶憑據、IP 地址、活動時間戳、注冊詳細信息等。
這表明調查人員掌握了可用于追蹤使用該惡意軟體的網絡犯罪分子的證據,因此未來很可能會進行逮捕和起訴。
此外,當局聲稱他們可以訪問這兩種惡意軟體的源代碼,包括許可證伺服器、REST-API 服務、面板、竊取程式二進制檔案和 Telegram 機器人。
Meta 和 Redline 共享相同的基礎設施,因此這兩個項目背後可能有相同的創建者或運營者。Redline 和 Meta 都是通過 Telegram 上的機器人出售的,這些機器人現已被删除。
NCA 國家網絡犯罪部門負責人、副主任 Paul Foster 表示:" 這些服務得到了犯罪生态系統的支持,該生态系統包括一系列工具、基礎設施、金融服務、市場和論壇,諸如此類的國際合作對于識别和消除該生态系統的各個要素至關重要,并最終使網絡犯罪分子更難以實施。"
警方警告黑客
Emotet 僵屍網絡遭到破壞後,荷蘭警方在黑客論壇上創建了論壇帳戶,以警告網絡犯罪分子他們正在受到密切監控。
2022 年 RaidForums 論壇被查封後,荷蘭警方向 RaidForums 會員的未成年人發送電子郵件和信件,并親自進行 " 制止 " 電話,警告他們的行為是非法的。
目前,荷蘭警方正在采用與 " 馬格努斯行動 " 相同的策略,創建論壇帳戶并發送直接消息,警告威脅者他們正在受到密切監視。
XSS 黑客論壇上的 "Operation Magnus" 帖子
eSentire 威脅情報研究員還分享了荷蘭警方向網絡犯罪分子發送的直接消息的螢幕截圖,警告他們這一行動。
網絡安全的危害
在過去的幾年中,信息竊取惡意軟體已成為企業面臨的一個大問題,因為被盜的憑據通常在暗網上出售或免費發布,以在黑客社區中獲得聲譽。
涉及信息竊取惡意軟體的惡意活動已經變得越來越多,威脅者通過零日漏洞、虛假 VPN、GitHub 問題的虛假修復,甚至 StackOverflow 上來瞄準受害者。
Redline 是攻擊中最常見的信息竊取程式之一,它于 2020 年推出,此後導致受害者的密碼、身份驗證 cookie、加密貨币錢包和其他敏感數據廣泛被盜。
Meta,又名 MetaStealer,是 2022 年宣布的一個較新的 Windows 信息竊取惡意軟體項目,作為 Redline 的改進版本進行銷售。從 "Operation Magnus" 的公告中,我們現在了解到 Meta 很可能是由與 Redline 相同的開發人員創建的。
值得注意的是,被破壞的 Meta 操作與針對 macOS 設備的 MetaStealer 惡意軟體不同。 Redline 和 MetaStealer 在 2024 年總共竊取了 2.27 億個憑證(唯一的電子郵件和密碼對)。
記錄的未來身份情報收集指标描繪了整個活動的可怕現象,表明 Redline 惡意軟體自首次啟動以來已竊取了近十億個憑證。
Specops 和 KrakenLabs 的聯合報告還指出,威脅者在短短六個月内就利用 Redline 竊取了超過 1.7 億個密碼。然後,這些被盜的憑據會被使用或出售給其他威脅者,作為網絡攻擊的一部分,以破壞企業網絡。
被盜的憑證已被用來為近期一些最重大的違規行為提供了幫助,包括大規模的 Snowflake 數據盜竊攻擊和 Change Healthcare 勒索軟體攻擊,這些攻擊對美國醫療保健系統造成了巨大的破壞。
