Wouter Hoeffnagel - 10 november 2024

ESET werkte samen met wetshandhavers in actie tegen RedLine Stealer

De politie van Limburg voerden op 24 oktober samen met de FBI, Eurojust en andere autoriteiten een wereldwijde actie uit die leidde tot de ontmanteling van de RedLine Stealer-operatie en zijn kloon META Stealer. Operatie Magnus resulteerde in het uitschakelen van drie servers in Nederland, de inbeslagname van twee domeinen, de arrestatie van twee personen in België en de aanklacht tegen een verdachte in de Verenigde Staten. In samenwerking met wetshandhavers bracht ESET meerdere modules in kaart die gebruikt werden om de infrastructuur van RedLine Stealer in 2023 te ondersteunen.

ESET werkte samen met wetshandhavers in actie tegen RedLine Stealer image

ESET was in april 2023 ook betrokken bij een gedeeltelijke onderbreking van de RedLine-malware, waarbij verschillende GitHub-repositories werden verwijderd die als "dead-drop resolvers" voor de malware fungeerden. Tegelijkertijd werkte ESET samen met andere onderzoekers van Flare aan de analyse van eerder ongedocumenteerde backend-modules van deze malware. Deze modules regelen de authenticatie en bieden functionaliteit voor het controlepaneel van de malware.

“We waren in staat om meer dan 1.000 unieke IP-adressen te identificeren die gebruikt worden om RedLine controlepanelen te hosten. Hoewel er sprake kan zijn van enige overlap, suggereert dit in de orde van 1.000 abonnees op de RedLine MaaS. De 2023 versies van RedLine Stealer die ESET in detail onderzocht, gebruikten het Windows Communication Framework voor de communicatie tussen de componenten, terwijl de nieuwste versie uit 2024 een REST API gebruikt. Op basis van onze analyse van de broncode en backend samples hebben we vastgesteld dat RedLine Stealer en META Stealer dezelfde maker hebben,” zegt ESET-onderzoeker Alexandre Côté Cyr, die de RedLine en META stealers onderzocht.

De unieke IP-adressen die ESET heeft geïdentificeerd, werden gebruikt om de RedLine panels te hosten. De meeste van deze IP-adressen bevinden zich in Rusland, Duitsland en Nederland, gevolgd door Finland en de Verenigde Staten. ESET identificeerde ook verschillende backend-servers, waarvan het merendeel in Rusland staat, terwijl een significant aantal in het Verenigd Koninkrijk, Nederland en Tsjechië is gevestigd.

Malware-as-a-Service

RedLine Stealer, een infostealer die voor het eerst werd ontdekt in 2020, wordt verkocht als een malware-as-a-service (MaaS). Klanten kunnen een maandabonnement of een levenslange licentie kopen en krijgen toegang tot een controlepaneel waarmee ze malwarevoorbeelden kunnen genereren en C&C-servers kunnen beheren. Deze malware kan diverse gegevens stelen, waaronder cryptocurrency-wallets, cookies, opgeslagen wachtwoorden, en gegevens van verschillende apps zoals Steam, Discord, Telegram en desktop VPN's.

“Het gebruik van een kant-en-klare oplossing maakt het makkelijker voor de filialen om RedLine Stealer te integreren in grotere campagnes. Enkele opmerkelijke voorbeelden zijn het voordoen als gratis downloads van ChatGPT in 2023 en het zich voordoen als videogame cheats in de eerste helft van 2024,” legt Côté Cyr uit.

Geleid door kleine groep

Voor de operatie Magnus was RedLine een van de meest verspreide infostealers, met een groot aantal affiliates die het controlepaneel gebruikten. De malware-as-a-service-onderneming lijkt echter te worden geleid door een klein aantal mensen, van wie sommigen inmiddels zijn geïdentificeerd door de wetshandhavingsinstanties.

Meer gedetailleerde technische informatie is te vinden in de blogpost “Life on a crooked RedLine: Analyzing the infamous infostealer’s backend” op WeLiveSecurity.com.

Axians 12/11/2024 t/m 26/11/2024 BN+BW