Operation Magnus

オランダ国家警察は、「マグナス作戦」において、RedlineとMetaの情報窃取マルウェア作戦のネットワークインフラを押収し、サイバー犯罪者に対し、彼らのデータが法執行機関の手に渡ったことを警告した。

オペレーション・マグナス」は、専用ウェブサイトで発表され、「Redline」と「Meta」の作戦が中断されたことを明らかにし、押収されたデータに基づく法的措置が現在進行中であると述べた。

“2024年10月28日、オランダ国家警察は、FBIおよび国際法執行タスクフォース “オペレーション・マグナス “の他のパートナーと緊密に協力し、レッドラインとメタの情報窃盗団の活動を妨害しました

「関係者には通知され、法的措置が進行中である。

RedlineとMetaはどちらもインフォステーラーで、感染したデバイス上のブラウザから、認証情報、認証クッキー、閲覧履歴、機密文書、SSHキー、暗号通貨ウォレットなどの保存情報を盗み出すマルウェアの一種である。

このデータはその後、脅威行為者によって販売されたり、大規模なネットワーク侵害の燃料として使用され、データ盗難、ランサムウェア攻撃、サイバースパイにつながる。

Politieによると、FBI、NCIS、米国司法省、Eurojust、NCA、ポルトガルとベルギーの警察など、国際的な法執行機関の協力により、この作戦を阻止することができたという。

捜査当局は以下のビデオを公開し、RedlineとMetaのユーザーに対して「最終アップデート」を発表し、アカウントの認証情報、IPアドレス、アクティビティのタイムスタンプ、登録の詳細などを入手したと警告した。

これにより、捜査当局はマルウェアを使用したサイバー犯罪者を追跡できる証拠を握っていることが明らかになったため、今後逮捕や起訴が発表される可能性が高い。

さらに当局は、両マルウェアのライセンスサーバー、REST-APIサービス、パネル、ステラーバイナリ、Telegramボットを含むソースコードにアクセスできたと主張している。

ビデオで彼らが述べているように、MetaとRedlineの両方が同じインフラを共有していたので、同じクリエイター/オペレーターが両方のプロジェクトの背後にいる可能性が高い。

マルウェア研究者のg0njxa氏は、RedlineとMetaの両方がTelegram上のボットを通じて販売されており、現在は削除されていると述べた。

「これらのサービスは、さまざまなツール、インフラ、金融サービス、マーケットプレイス、フォーラムで構成される犯罪エコシステムによって支えられています」と、NCAの国家サイバー犯罪ユニットの責任者であるポール・フォスター副所長は語った。

「このような国際協力は、このエコシステムの様々な要素を特定し、排除し、最終的にサイバー犯罪者の活動をより困難にする鍵となる。

「マグナス作戦への継続的な支援の一環として、NCAはこの破壊活動の一環として得られたすべての関連データを分析し、この脅威を低下させるさらなる機会を探る。

この作戦、押収されたインフラ、逮捕の可能性についての詳細は、明日発表される予定である。

警察がハッカーに警告

オランダ警察は、法執行活動を行った後、サイバー犯罪者に連絡を取り、彼らが匿名ではなく、監視されていることを警告した長い歴史がある。

Emotetボットネットが破壊された後、オランダ警察はハッカー・フォーラムにフォーラム・アカウントを作成し、サイバー犯罪者たちに自分たちが厳重に監視されていることを警告した。

2022年にRaidForumsのフォーラムが押収された後、オランダ警察はRaidForumsのメンバーである未成年者に電子メールや手紙を送り、彼らの行為が違法であることを警告するために直接「停止」コールを行った。

は、オランダ警察がマグナス作戦の一環として同じ戦術を駆使し、フォーラムのアカウントを作成し、脅威行為者に監視の目を光らせていることを警告するダイレクトメッセージを送信していることを知った。

「これは法執行機関からの公式通知です。今年初め、我々はRedlineとMeta infostealerのインフラと顧客データを掌握した。”とロシア語圏のXSSハッキングフォーラムに投稿されている。

この作戦は国際的な法執行機関と協力して行われている。関係者には通知され、法的措置が進行中である。詳細(または逮捕状)については、https://www.operation-magnus.com。”

Operation Magnus post on the XSS hacking forum
XSSハッキングフォーラムにおけるOperation Magnusの投稿
ソースは こちら:

eSentireの脅威インテリジェンス研究者であるRussian Pandaも、オランダ警察がサイバー犯罪者に送信したダイレクトメッセージのスクリーンショットを共有し、行動を警告している。

“法執行機関は、全ユーザーデータベースを含むRedlineとMetaのインフラを侵害した “と、サイバー犯罪者と思われる人物に送られたメッセージには書かれている。

「あなたの顧客データはこのデータセットの一部です。我々は、現在進行中の国際的な協調捜査の一環として、このデータを確認している。

サイバーセキュリティの惨劇

ここ数年、情報窃取マルウェアは企業にとって大きな問題となっている。窃取された認証情報は一般的にダークウェブで販売されたり、ハッキングコミュニティで評判を得るために無料で公開されたりするからだ。

情報窃取マルウェアを含む悪質なキャンペーンは、ゼロデイ脆弱性偽のVPNGitHubの問題に対する偽の修正、さらにはStackOverflow上の回答などを通じて、脅威行為者が被害者を標的にすることで、大量に発生しています。

攻撃で使用される最も一般的な情報窃盗犯の1つは、2020年に登場し、それ以来、被害者のパスワード、認証クッキー、暗号通貨ウォレット、およびその他の機密データを広範囲に窃取する原因となったRedlineです。

Meta、別名MetaStealerは、2022年に発表された新しいWindows情報窃取マルウェアプロジェクトで、Redlineの改良版として販売されています。Operation Magnusの発表から、MetaはRedlineと同じ開発者によって作成された可能性が高いことがわかった。

破壊されたMetaの動作は、macOSデバイスを標的とするMetaStealerマルウェアとは異なることに注意すべきである。

Recorded Futureの製品管理担当ディレクターであるドミトリー・エミリャネッツは、RedlineとMetaStealerは2024年に合わせて2億2700万件の認証情報(固有の電子メールとパスワードのペア)を盗んだとXで共有した。

Dmitry tweet

Recorded Future Identity Intelligenceの収集指標は、Redlineマルウェアが最初に起動して以来、ほぼ10億の認証情報を盗んだことを示し、活動全体の悲惨な姿を描いている。

また、SpecopsとKrakenLabsの共同レポートでは、脅威行為者がRedlineを使用して、わずか6カ月間で1億7000万件以上のパスワードを盗んでいることが共有されています。

これらの盗まれた認証情報は、サイバー攻撃の一環として企業ネットワークに侵入するために使用されるか、他の脅威行為者に販売される。

盗まれた認証情報は、大規模なSnowflakeデータ盗難攻撃や、米国の医療システムに大規模な混乱を引き起こしたChange Healthcareランサムウェア攻撃など、最近の歴史において最も重大な侵害のいくつかに使用されている。

これは発展途上の話である。