Flashpointは今年だけで、RedLineとMETAによって抜き取られた一意の認証情報を4億5,100万件以上収集しました。本ブログではこれらのスティーラーが脅威ランドスケープに与えた影響、そして最近実施されたテイクダウンによる余波について触れていきます。
*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2024年11月1日付)を翻訳したものです。
要点
- RedLineとMETAがテイクダウンされ、RedLineの主要開発者の1人が起訴された。
- Flashpointは今年だけで、RedLineとMETAによって抜き取られた一意の認証情報を4億5,100万件以上収集している。
- 今年感染被害に遭ったデバイスのうち、64%以上がRedLineとMETAによって侵害されたもの。
- Flashpointは9月と10月、スティーラーに盗まれたログの数が大幅に減少していることを観測した。
米国司法省(DoJ)は先ごろ、悪名高いインフォスティーラーマルウェアファミリーのRedLineとMETAをテイクダウンしたと発表しました。この共同作戦は「Operation Magnus」と名付けられ、上記スティーラーのバックエンドサーバーやソースコード、ライセンスサーバー、アプリケーションプログラミングインターフェース(API)サービス、パネル、Telegramアカウントを差し押さえたほか、RedLineの開発者の1人であるMaxim Rudometov氏を最終的に起訴しました。
そもそも、RedLineとMETAとは一体何なのでしょうか?なぜ、これらは複数国の法執行機関から目をつけられることになったのでしょうか?
RedLineとMETAの内情:MaaSモデルを徹底分析
RedLineスティーラーはLAPSUS$などの目立ったグループを含め、数々のサイバー犯罪者が好んで使用してきたインフォスティーラーです。RedLineは有名なボットショップに並ぶ盗難ログの多くを提供しており、このスティーラー自体も広く普及していたことから、後に同じソースコードをベースにした派生型のインフォスティーラー「META」が開発されることになりました。
両スティーラーともマルウェア・アズ・ア・サービス(MaaS)として運用されており、技術力の低いサイバー犯罪者でも手頃な価格で簡単に使うことができます。MaaSモデルの下、マルウェアの開発者から「ライセンス」を購入すると、脅威アクターはコードやコードのアップデート、カスタマーサポートを利用できるようになります。マルウェアの種類によっては、DDoS機能のついたボットネットや暗号資産マイナーなど追加のツールを提供されることもあります。この仕組みによって犯罪行為の参入障壁が大幅に下がり、多くの場合、攻撃者は自らの不法キャンペーンを後押しする上で必要なものをすべて手に入れることができます。
RedLineとMETAはインフォスティーラーの脅威ランドスケープにおいて、大きな存在感を示してきました。これまでのところ、2024年にインフォスティーラーに感染したデバイスのうち、両マルウェアファミリーに侵害されたものは64%以上を占めています。加えてこれらのマルウェアはユーザー名やパスワード、金銭関連データ、多要素認証(MFA)のバイパスに使用するCookieなど、一意の認証情報を4億5,100万件以上盗み出してきました。この膨大な量の盗難データは、アカウントの乗っ取りから破壊的なランサムウェア攻撃に至るまで、さまざまなサイバー犯罪活動を助長します。
しかし、法執行機関による国際的なオペレーションやその他の要因が相まって、RedLineとMETAの脅威は拡散する勢いが急激に衰えてきたようです。
余波:盗難ログが大幅に減少
RedLineとMETAがテイクダウンされて以来、情報窃取型マルウェアのランドスケープは実際に深刻な混乱に陥っているようです。Flashpointでは収集データとRussian Marketの監視の双方において、9月と10月に取り扱われたスティーラーのログ数が大幅に減少したことを確認しました。
2024年7月1日以降に解析された一意の感染ホスト数
上の尺度図は、Russian Marketで利用可能なボットが減少していることを示しています。RedLineとMETAのログは、人気のあるほかのスティーラーのログと共に、Russian Marketで利用可能なボットの一部シェアを占めていました。この供給低下を招いた要因はさまざまなものが挙げられますが、Operation Magnusはその1つと考えられています。
また、テイクダウンの1か月前にはGoogle ChromeとMicrosoft Edgeから新しいセキュリティ対策がリリースされ、リークまたはクラックされたスティーラービルドをCookie収集に使えなくなりました。これらのアップデートはスティーラーの開発者に大きな打撃を与えただけでなく、サブスクリプション型マルウェアの価格を全体的に押し上げることになり、経験の浅い攻撃者を寄せ付けない参入障壁を築き上げたのです。
その上でOperation Magnusが実行され、旧来の顧客がLummaやVidar、Meduza、StealCといった新しいスティーラーに乗り換えていくことで、RedLineのログファイルの数は今後も大幅に減り続けることが予想されます。しかしRedLineと同様、これらのスティーラーファミリーも組織的な運営を行っており、頻繁なアップデートや堅牢な顧客サービス、信頼性の高いインフラストラクチャを用意しています。これから数か月もすれば、RedLineとMETAが凋落した隙を突くようにして、新しいオペレーションがいくつかその姿を現すはずです。
Flashpointを活用して備えよう
RedLineとMETAのテイクダウンにより、サイバー脅威のランドスケープは大きな混乱に陥りましたが、脅威アクターの高い適応力を侮ることはできません。盗難ログの数が激減しているとしても、攻撃者たちは代わりのツールや戦術を模索しており、新たな脅威が現れるのも時間の問題です。
常に脅威アクターの一歩先を行くには、新しいマルウェアファミリーの詳細な分析など、スティーラーエコシステムを深掘りするための包括的な脅威インテリジェンスが必要です。今すぐデモをお申し込みいただき、Flashpointを活用して脅威ランドスケープの先手を取る方法を確認してください。
Flashpoint, VulnDBについて
Flashpointは、Deep & DarkWeb(DDW)に特化した検索・分析ツールです。ダークウェブ等の不法コミュニティで、どのようなPoCやエクスプロイトが議論・取引されているか等をモニタリングできます。また、Flashpointの一機能として利用できるVulnDBは、CVE/NVDデータベースにない脆弱性情報や各脆弱性のメタデータを豊富に含んだ脆弱性データベースです。
日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。
また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。