米司法省は、情報窃取型マルウェアのRedLineを管理していたアルメニア人の被告がテキサス州オースティンの連邦裁判所に初めて出廷したと発表しました。アメリカとイギリス、オランダ、ベルギー、ポルトガル、オーストラリアは2024年10月に情報窃取型マルウェア「RedLine」と「META」を摘発するオペレーション・マグナス作戦を敢行しています。
ロシアのアングラ市場で販売されていた
RedLineを初めて明らかにした2020年3月のproofpointのブログは、RedLineがロシアのアンダーグラウンドフォーラムで販売されている新しいマルウェアで、ログイン情報やクレジットカード情報をブラウザから盗み出すとともに位置情報やシステムに関する情報、さらに仮想通貨のコールドウォレットを盗む機能も追加されたと明らかにしています。カスペルスキーは2023年に発生して調査をしたインフォスティーラー感染事例の55%がRedLineに感染していたと明らかにしています。RedLineの被害は日本でも多くあるようですが、日本からの情報発信はインフォスティーラーというくくりで捉えられていて個別のマルウェアの被害実態については不明です。
proofpointの2020年当時のブログによると、RedLineはロシアのアンダーグラウンドフォーラムで販売されており、その価格はプロ版が200ドル、ライト版が150ドル、月額サブスクリプションは100ドルで販売されていたということです。2024年10月のオペレーション・マグナス作戦では、ベルギー警察が2人の人物を拘束。この2人はアンダーグラウンドフォーラムでRedLineを購入した顧客とみられ、うち1人は拘束後に釈放されたと報道されています。また、米当局はRedLineを開発、管理していたとされる人物を起訴しています。米政府の発表によると、この人物は1999年にウクライナのルハンシク地方で生まれ、2022年のロシアによるウクライナ侵攻後はロシアのクラスノダールに逃亡したということです。アメリカ政府はこの人物に最大1000万ドルの報奨金を賭けて情報提供を求めています。
ロシアに潜伏中?の人物の共犯者
今回、米当局が発表したアルメニア人は、この人物の共犯者とみられ、RedLineの購入者がRedLineの展開を可能にするため、C2サーバーや管理パネルなどのデジタルインフラを維持し、購入者から支払いを受け取り、購入者がRedLineを使用できるようにしたとされています。また購入者からの質問や要求に対応し、購入者と共謀して金融情報を窃取、所持し、仮想通貨取引所などを通じて違法収益を資金洗浄したとしています。このアルメニア人は海外で逮捕されてアメリカに引き渡されたようですが、逮捕、起訴に至った経緯について米司法当局は明らかにしておらず詳細は不明です。
METAはRedLineから派生した情報窃取型マルウェアで、Metaが運営しているフェイスブックのビジネスアカウントや広告マネージャーを標的にしてアカウントを乗っ取ることを目的にしているマルウェアだということです。Chromeなどのブラウザに保存されたセッションクッキーやパスワードを盗んで2要素認証を回避してログインし、盗んだアカウントを使用して悪意のある広告を配信して不正なプログラムをインストールさせるということです。
RedLineとの関連が指摘されており、2024年10月のオペレーション・マグナス作戦でMETAインフォスティーラーのサーバーやドメインはテイクダウンさせられたとされる一方、ベトナムの脅威アクターとの関わりも指摘されており脅威の実態は必ずしも明確ではないようです。フェイスブックの偽装広告は日本でも問題となり、また、東南アジアの犯罪拠点を舞台に繰り広げられている投資詐欺等のサイバー犯罪の入り口にもなっていることから捜査当局によるMETAインフォスティーラーのさらなる実態解明が期待されます。
【出典】
https://www.operation-magnus.com/
https://rewardsforjustice.net/rewards/maxim-alexandrovich-rudometov-redline/
https://thecyberexpress.com/redline-infostealer-networks-second-defendant/