RedLine信息窃取木马活动通过盗版企业软件瞄准俄罗斯企业

自 2024 年 1 月以来，使用未经授权软件的俄罗斯企业一直是RedLine 信息窃取木马的攻击目标。盗版软件通过俄罗斯在线论坛分发，攻击者将恶意软件伪装成绕过业务自动化软件许可的工具。

攻击者通过分发恶意版本的 HPDxLIB 激活器来瞄准业务流程自动化用户。与具有有效证书的合法 C++ 版本不同，恶意版本是在 .NET 中构建的，并使用自签名证书。

卡巴斯基发布的报告指出：“未经授权的企业业务流程自动化软件用户遭受攻击，攻击者在会计论坛上分发恶意激活程序。” “检测到的样本是著名的 HPDxLIB 激活程序的版本，其中包含 RedLine 窃取程序，隐藏方式非常不寻常：激活程序库使用 .NET Reactor 进行混淆，恶意代码经过多层压缩和加密。”

攻击者在有关企业所有权和会计的专门论坛上发布恶意激活器的链接。研究人员还发现，操作员提供了有关禁用安全软件以运行激活器的详细说明，从而有效地逃避检测。

攻击者诱骗用户用激活器中包含的恶意库替换合法的 techsys.dll 库。然后在执行修补后的软件时，它会通过合法的 1cv8.exe 进程加载恶意库，从而运行窃取程序。这种方法利用的是用户的信任，而不是企业软件中的漏洞。

RedLine 信息窃取木马是一种用 .NET 编写的信息窃取恶意软件，自 2020 年初以来一直处于活跃状态。该恶意软件可以从受感染的系统中窃取敏感信息，包括凭据、cookie、浏览器历史记录、信用卡数据和加密钱包。该信息窃取程序被视为可通过恶意软件即服务模型获得的商品恶意软件。

“此次活动背后的攻击者显然有意接触使用软件来自动化业务流程的俄语企业家。通过可疑解决方案进行攻击（据称可以绕过许可证检查）并不是什么例外。但他们针对的是企业而不是私人用户，这一事实似乎相当不寻常。另一个不寻常的细节是攻击者如何巧妙地伪装窃取程序植入程序。”卡巴斯基分析报告里总结说。

技术报告：

https://securelist.ru/redline-stealer-in-activators-for-business-software/111241/

新闻链接：

https://securityaffairs.com/171771/cyber-crime/redline-info-stealer-campaign-targets-russian-businesses.html

讲述普通人能听懂的安全故事