情報窃取マルウェア RedLine/MetaStealer:国際協調 Operation Magnus がテイクダウン

Dutch Police Disrupt Major Info Stealers RedLine and MetaStealer in Operation Magnus

2024/10/29 TheHackerNews —オランダ国家警察が発表したのは、2つの情報窃取ツールである RedLineMetaStealer を動かすインフラを、各国のパートナーと共にテイクダウンしたことだ。2024年10月28日に行われた、このテイクダウンは、コードネーム Operation Magnus の成果であり、国際的な法執行機関のタスクフォースに、米国/英国/ベルギー/ポルトガル/オーストラリアの当局が参加した結果でもある。

10月29日に Eurojust が発表した声明によると、このオペレーションにより、オランダの3つのサーバがシャットダウンされ、2つのドメイン (fivto[.]online/spasshik[.]xyz) が押収された。一連のマルウェアの展開と運営には、数十か国にまたがる 1,200以上のサーバが使用されていたと思われる。

さらに、同日のベルギー警察の発表によると、その取り組みの一環として、米国当局により1人の管理者が起訴され、ベルギー警察により2人が逮捕された。そのうちの1人は、その後に釈放されたが、もう1人は引き続き拘束されているという。

米国司法省 (DoJ:Department of Justice) は、アクセス・デバイス詐欺/共謀によるコンピューター侵入/資金洗浄などの容疑で、RedLine Stealer の開発者/管理者である Maxim Rudometov を起訴した。このロシア国籍の人物が、有罪判決を受けると、最高で 35年の禁固刑が科される可能性がある。

DoJ は、「Rudometov は、定期的に RedLine Infostealer のインフラにアクセスし、管理を行っていた。また、支払いを受け取り、洗浄に用いる各種の暗号通貨アカウントと関連があり、RedLine マルウェアを所持していた」と述べている。

開示された裁判資料が示すのは、捜査官が Rudometov  に辿り着く手がかりとなった、一連の運用上のセキュリティ上の不備である。具体的に言うと、彼の Yandex のメールアドレスに関連付けられた Apple iCloud Drive アカウントで、認証認可付き検索をかけたところ、マルウェア RedLine に対応する RAR アーカイブを含む、多数のファイルが発見されたという。

さらに、RedLine のライセンス・サーバを分析したところ、Rudometov の iCloud アカウントとのインタラクションに使用されたことを Apple が記録している、IP アドレスの存在が明らかになった。この IP アドレスは、iCloud アカウントへのアクセスやメッセージの送受信において、2021年7月だけで 701 回も使用されていたという。

この情報窃取ツールに関する技術インフラの調査は、オランダにサーバを配置しているサイバーセキュリティ企業 ESET からの情報を元に、1年前に開始されたという。

押収されたデータに含まれていたのは、ユーザー名/パスワード/IP アドレス/タイムスタンプ/登録日であり、それに加えて、2つの情報窃取型マルウェア RedLine/ MetaStealer のソースコードも発見された。それに伴い、この情報窃取マルウェアに関連する、いくつかの Telegram アカウントがオフラインにされた。現時点でも、さらなる調査が、顧客に対して行われているという。

オランダの法執行当局は、「インフォステーラーである RedLine と MetaStealer は、これらのグループを通じて顧客に配信されていた。これまで、Telegram は手出しができない匿名性の高いサービスであり、犯罪者にとって有益なものであった。ただし、今回の措置により、もはや状況が変化していることが明らかになった」と述べている。

注目すべきは、Operation Magnus の活動により解体された MetaStealer ファミリーは、macOS デバイスを標的とする MetaStealer マルウェアとは別物だったということだ。

RedLine や MetaStealer などの情報窃取ツールは、サイバー犯罪の活動において極めて重要な歯車である。それらを用いる脅威アクターたちは、認証情報などの機密情報を吸い上げ、他の脅威アクターに売却することで、ランサムウェアなどの二次攻撃での悪用をサポートしている。

一般的に、それらスティーラーは、MaaS (malware-as-a-service) モデルで提供される。そのライセンス・モデルは、サブスクリプション・ベースまたは生涯ライセンスであり、コア開発者からサイバー犯罪者たちに、ツールへのアクセス権が貸し出されるというものである。

RedLine/MetaStealer がテクダウンされたという、とても嬉しいニュースです。この記事で興味深いのは、開示された裁判資料にある、この脅威アクターのミスが、致命傷になっているという指摘です。サイバー犯罪者たちにとっても、セキュリティは重要だということです。よろしければ、RedLine で検索と、MetaStealer で検索を、ご参照ください。