ナビゲーションをスキップする
BlackBerry ブログ

Redline Infostealer の進化

本ブログ記事は、2021年10月21日に米国で公開されたBlackBerryのブログ記事の抄訳版です。原文はこちらからご覧頂けます。

 

概要

Redline Infostealer は主にフィッシングメール経由で感染する名の知られたマルウェアの一種です。BlackBerry が以前公開したRedline の Threat Thursday ブログでは、この脅威がもたらす危険性とその機能について解説を行いました。最近の調査により、BlackBerry の研究員が Redline Infostealerのコマンドアンドコントロール (C2) 通信の実現方法に大幅なアップデートがあったことを発見しました。

以前のRedline Infostealerでは HTTP 上でSOAP (Simple Object Access Protocol) データを用いて C2 通信を実現していました。しかし、現在の Redline Infostealer はバイナリデータに変換した SOAP データをNet.TCP ポート共有プロトコルを用いて C2 通信を実現しています。このアップデートにより、感染端末と C2 サーバの間でどのようなデータを送受信しているのかを把握することがより一層困難となります。

 

BlackBerry VS RedLine InfoStealer (アップデート)

 

オペレーティングシステム

 

リスクと影響

 

技術的解析

Redline は2020 年に発見されており、2021 年 4 月以降、より一層 RedLine が蔓延しています。今回のRedline のアップデートは、核となる情報搾取機能について大きな変更はないものの、被害者端末とC2サーバ間の通信メカニズムに明確な違いが生じています。

最近のRedline による HTTP から Net.TCP プロトコルへの変更はパケット解析や C2 通信に関連する調査を困難にします。これはセキュリティ研究者による解析活動に時間を要すること、ネットワークパケットフィルタリングによる防御システムを回避する可能性があります。Net.TCP プロトコルの使用はRedlineによるC2通信の中身を把握することを困難にし、被害者に気付かれないようにRedlineが悪意ある活動を遂行できるようにします。

図1は以前と現在の Redline による C2 通信の違いを示しています。以前のバージョンではHTTP 上でSimple Object Access Protocol (SOAP) データがやりとりされており、人間が読み取ることができる形式のデータでした (図1上部)。しかし、現在の RedlineはHTTP を使用しておらず、そのデータ構造も以前のものとは明らかに異なっています (図1下部)。

図 1: RedlineによるC2通信の過去と現在の違い

 

Net.TCP を用いた C2 サーバへの接続

Net.TCP プロトコルは MC-NMF (.NET Messsage Framing) に基づいています。これは特にSOAPデータを効率よく転送するためのメカニズムであり、双方向通信にとって理想的で非常に柔軟なプロトコルとなっています。Redline はこのメカニズムを悪用することにより、C2 サーバとの通信を実現しています。

Microsoft のウェブサイト よりこのプロトコルの仕様を確認することができます。この仕様に基づいて、図2に示すパケットは下記に示す表のように解釈することができます。これはRedline が起動するとC2サーバに送信する最初のパケットデータです。

図 2: Redline がC2 サーバに送信する最初のパケット

Once dynamically executing on a victim’s device, RedLine will make an initial request to its malicious infrastructure. As the malware uses MC-NMF, the packets it sends to the C2 are structured as follows:

インデックス

バイトデータ

 

0x0

0x00

Version Record フォーマット

0x1

0x01

メジャーバージョン

0x2

0x00

マイナーバージョン

0x3

0x01

Mode Record フォーマット

0x4

0x02

Duplex モード

0x5

0x02

Via Record フォーマット

0x6

0x1D

URI の長さ

0x7 – 0x23

0x6E – 0x2F

URI (net[.]tcp://45[.]132[.]104[.]3:52352/)

0x24

0x03

Known Encoding Record フォーマット

0x25

0x08

MC-NBFSE で規定されているBinary Dictionary を利用


C2サーバがこのリクエストを受理するとそのレスポンスとして acknowledgement (Ack) パケットを返します。MC-NMF の仕様によると、このデータはPreamble Ack Record となります。このパケットは図3のように [0xb] のデータを含んでおり、これがPreamble Ack Record となります。これにより、Redline は C2 サーバとバイナリデータに変換した SOAP データの送受信が可能となります。

図 3: Preamble Ack Record

 

バイナリデータに変換したSOAPデータを用いた C2 通信

MC-NMF に加えて、Redline は他の 3 つのプロトコルを利用してC2通信を実現します。

プロトコル名

内容

MC-NBFSE

.NET Binary Format: SOAP Extension

MC-NBFS

.NET Binary Format: SOAP Data Structure

MC-NBFX

.NET Binary Format: XML Data Structure


これらのプロトコルを利用することにより、Redline はSOAP で頻繁に利用される文字列を効率的にエンコードすることが可能となります。これによりマルウェアは同じ文字列を何度も送受信することを避けることができます。これは C2 サーバとの通信で使われるパケットサイズの削減となりマルウェアに感染した足跡を減少させることに繋がります。

一旦セッションが確立すると、C2 通信の解析が可能となります。これ以降、バイナリデータに変換した SOAP データを伴った初期化フェーズの C2 通信について解説をします。下記の表は SOAP リクエストとレスポンス及びその機能を含んでいます。

SOAP リクエスト

SOAP レスポンス

機能

CreateSequence

CreateSequenceResponse

セッションの作成

CheckConnect

CheckConnectResponse

セッションを伴った C2 通信の開始

EnvironmentSettings

EnvironmentSettingsResponse

スキャンするデータの指定

Init

InitResponse

被害端末の基本データの送信



CreateSequence

Redline がNet.TCP セッションを確立した後、図4に示すバイナリデータに変換したSOAP データを送信します。

図4: バイナリデータに変換されたSOAPデータ

MC-NBFSE、MC-NBFS、MC-NBFX 及び MC-NMF の仕様に基づいて、このバイナリデータはSOAP データに変換することができます。この場合、C2サーバにアドレスはnet[.]tcp://45[.]132[.]104[.]3[:]52352 となっています。図 5 にはバイナリデータと SOAP データの詳細な対応を示しています。

図 5: CreateSequence のバイナリデータと SOAP データの対応

  • 最初のバイトデータは [0x06]です。MC-NMF によると、このパケットフォーマットは “Sized Envelope Record” となります。
  • その直後のバイナリデータの [0x77] はペイロードのサイズです。
  • 以降のデータは “Sized Envelope Record” のペイロードデータとなります。このデータフォーマットは Net.TCPのコネクションを確立する際に指定した MC-NBFSE となります。
  • 次のバイナリデータである [0x1e] は登録した文字列に関する情報の総サイズです。
  • 続くデータの [0x1d] は1番目に登録された文字列サイズです。その直後に続くデータは登録された文字列です。この場合はC2 サーバのアドレスとなります。

図 5 から復元した SOAP データは図 6 となります。  

図6: Create sequence (SOAP)

以降の C2サーバとの通信を行うために、セッションを確立する必要があります。この一連の準備は “CreateSequence” により行われます。このリクエストには2つの重要なパラメータがあります。

  • “<a:To>” タグ内の C2サーバのアドレス (net[.]tcp://45[.]132[.]104[.]3:52352/).
  • “<Identifier>” tag の値。この値は後述する “SequenceAcknowledgement” により使われます。以降、本ブログでは “session identifier” と呼びます。

レスポンスデータも同様にバイナリデータとなります。このバイナリデータを SOAP データに変換したものは図7に示されています。レスポンスデータにも以降の通信で利用するパラメータが含まれています。

“<Identifier>” タグの値は以降のリクエストデータを送信する際に使われます。以降、本ブログでは “main identifier” と呼びます。

図7: CreateSequenceResponse (バイナリとSOAP)

 

CheckConnect

CheckConnect では有効なセッションを保有しているかどうかを確認します。図8は “CheckConnect” リクエストであり、2 つの重要なパラメータを含んでいます。

  • “<r:Reason>” タグと “<r:Sequence>” タグ内の “main identifer”。
  • “<r:MessageNumber>” タグ内の数字。これは “main identifier” を伴うリクエストが送信される度に1ずつ上昇します。

C2 サーバがこのリクエスト受理すると、Redline は 図9 で示す “CheckConnectResponse” を受信します。

図8: CheckConnect (バイナリとSOAP)

図9: CheckConnectResponse (バイナリとSOAP)

Redline は “CheckConnectResponse” を受信した後、“SequenceAcknowledgement” を C2 サーバに送信します。これにより直前の動作が正しく処理されたことを通知します。図 10 で示すようにここでは “Session Identifier” が含まれていることが分かります。以降 C2 サーバからのレスポンスを受信すると、この “SequenceAcknowledgement” を都度送信します。

また、“<r:AcknowledgementRange>” タグの “Upper” 属性の数字は “SequenceAcknowledgement” を送信する度に 1 ずつ上昇します。もしこの整合性が崩れると、C2通信を継続することができなくなります。

図10: SequenceAcknowledgement (バイナリと SOAP)

 

EnvironmentSettings

“CheckConnect”の後、 “EnvironmentSettings” リクエストがC2サーバに送信され、そのレスポンスとして “EnvironmentSettingsResponse” を受信します。このレスポンス内にはどの情報を取得するかをRedline に指示します。

 

BlockedCountry

BlockedCountry” と “BlockedIP” タグは特定の国や IP アドレスから接続している被害者端末上での活動を停止させるために用います。今回調査したサンプルでは、下記の東ヨーロッパの国々から接続している被害者端末上では動作しない設定となっていました。

RU

ロシア

 AZ

アゼルバイジャン

UA

ウクライナ

 MD

モルドバ

BY

ベラルーシ

 UZ

ウズベキスタン

KZ

カザフスタン

 TM

トルクメニスタン

TJ

タジキスタン

 AM

アルメニア

KG

キルギスタン

 

 


Redline が被害者端末から取得する情報はウェブブラウザに保存されている情報、FTP クライアント関連の情報、インスタントメッセージクライアント 関連の情報、仮想通貨のウォレット情報、VPN やSteam などのゲーム関連の情報です。

今回解析したサンプルでは下記のChrome ブラウザに関連するディレクトリ配下を検索し、保存されているログイン情報、Cookie、オートフィル、クレジットカード情報を搾取することを試みました。

%USERPROFILE%\AppData\Local\Battle.net

%USERPROFILE%\AppData\Local\Chromium\UserData

%USERPROFILE%\AppData\Local\Google\Chrome\User Data

%USERPROFILE%\AppData\Local\Google(x86)\Chrome\User Data

%USERPROFILE%\AppData\Roaming\Opera Software\

%USERPROFILE%\AppData\Local\MapleStudio\ChromePlus

%USERPROFILE%\AppData\Local\Iridium\User Data

%USERPROFILE%\AppData\Local\7Star\7Star\User Data

%USERPROFILE%\AppData\Local\CentBrowser\User Data

%USERPROFILE%\AppData\Local\Chedot\User Data

%USERPROFILE%\AppData\Local\Vivaldi\User Data

%USERPROFILE%\AppData\Local\Kometa\User Data

%USERPROFILE%\AppData\Local\Elements Browser\User Data

%USERPROFILE%\AppData\Local\Epic Privacy Browser\User Data

%USERPROFILE%\AppData\Local\uCozMedia\Uran\User Data

%USERPROFILE%\AppData\Local\Fenrir Inc\Sleipnir5\setting\modules\ChromiumViewer

 

同様にGecko ブラウザのディレクトリに保存されている情報も調べました。

%USERPROFILE%\AppData\Roaming\Mozilla\Firefox

%USERPROFILE%\AppData\Roaming\Waterfox

%USERPROFILE%\AppData\Roaming\K-Meleon

%USERPROFILE%\AppData\Roaming\Thunderbird

%USERPROFILE%\AppData\Roaming\Comodo\IceDragon

%USERPROFILE%\AppData\Roaming\8pecxstudios\Cyberfox

%USERPROFILE%\AppData\Roaming\NETGATE technologies\Blackhaw

%USERPROFILE%\AppData\Roaming\Moonchild Productions\PaleMoon

 

Discord やFTPクライアント、仮想通貨関連のファイルも調べます。加えて下記のように攻撃者が指定したクエリに従って様々なファイルを調べることがあります。

%userprofile%\Desktop|*.txt,*.doc,*key*,*wallet*,*seed*|0

%userprofile%\Documents|*.txt,*.doc,*key*,*wallet*,*seed*|0

 

Init

“Init” リクエスト (図11) では下記に示す被害者端末の基本的な情報をC2サーバに送信します。

  • IP アドレス
  • OS のバージョン
  • マシン名
  • スクリーンの解像度

“ReleaseID” の値は図12に示すように暗号化された文字列としてプログラム中に埋め込まれています。

図 11: Init (SOAP)

図12: プログラムに埋め込まれている暗号化された文字列

 

初期化後の動作

“InitResponse,” の後、Redline は被害者端末に保存されている詳細な情報を C2 サーバに送信します。

前バージョンの Redline について解説したブログでは、Redline がどのような情報を被害者の端末から盗むか詳細に解析しました。今回のバージョンでは多少の変更点はあるものの、情報搾取機能に関しては大幅な変更はありませんでした。下記の表では確認できた SOAP のリクエストとレスポンス、及びその機能を記載しています。

SOAP リクエスト

SOAP レスポンス

機能

PartSteamFiles

PartSteamFilesResponse

以前のバージョンと同じ

PartBrowsers

PartBrowsersResponse

以前のバージョンと同じ

PartLanguages

PartLanguagesResponse

言語設定の送信

PartDiscord

PartDiscordResponse

以前のバージョンと同じ

PartProcesses

PartProcessesResponse

実行中のプロセス名、コマンドライン、プロセス ID の送信

PartDefenders

PartDefendersResponse

アンチウイルス製品名、アンチスパイウェア製品名、ファイアウォール製品名の送信

PartInstalledSoftwares

PartInstalledSoftwaresResponse

インストール済みのソフトウェア情報の送信

PartNordVPN

PartNordVPNResponse

以前のバージョンと同じ

PartOpenVPN

PartOpenVPNResponse

以前のバージョンと同じ

PartProtonVPN

PartProtonVPNResponse

以前のバージョンと同じ

InitDisplay

InitDisplayResponse

スクリーンショットの送信

PartFtpConnections

PartFtpConnectionsResponse

以前のバージョンと同じ。ただし WinSCP については除外

PartHardwares

PartHardwaresResponse

CPU、グラフィックカード、RAM 情報の送信

PartColdWallets

PartColdWalletsResponse

以前のバージョンと同じ

PartInstalledBrowsers

PartInstalledBrowsersResponse

以前のバージョンと同じ

Confirm

ConfirmResponse

特になし

Getupdates

GetupdatesResponse

レスポンスに追加ペイロードの URL を保有

VerifyUpdate

VerifyUpdateResponse

GetUpdates と同じ。updateIdタグが追加

LastMessage

通信の終了通知

 

Redline 経由でばらまかれる追加ペイロード

BlackBerry は Redline C2 サーバの活動を継続的に監視しています。弊社の調査ではRedline に感染すると他のマルウェアをダウンロードし、更なる被害をもたらす可能性があります。

弊社の調査では、多くのRedlineのC2サーバがコインマイナーをばらまく傾向があることが分かっています。また、コインマイナーに加え下記のマルウェアもばらまいていることが分かっています。

  • XMRig
  • EthMiner
  • Amadey
  • DCRAT
  • BitRAT
  • Clipper
  • Fabookie
  • Remcos
  • Async_RAT

 

まとめ

Redline の知名度は益々広まってきており、また、現時点においても継続的に改良を加えています。情報搾取の機能そのものに大きな変更点はないものの、今回のバージョンにおいて HTTP 上で SOAP データを使うことを止め、Net.TCP プロトコル上でバイナリデータに変換した SOAP データを使っています。

この進化は被害端末と C2 サーバ間でやり取りされるパケットデータの解析や悪意あるトラフィックの検知を困難にします。加えて、これらのデータは人間が読み取れる形式ではなくなっています。

 

YARA ルール

以下の YARA ルールは、この記事で説明した脅威を捕捉するために BlackBerry の Research & Intelligence Team が作成しました。

rule Mal_InfoStealer_Win32_Redline_Stealer_Update_Unobfuscated_2021
{
    meta:
        description = "Redline Stealer which uses MC-NBFSE, MC-NBFS, MC-NBFX and MC-NMF"
        author = "BlackBerry Threat Research Team"
        license = "This Yara rule is provided under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0) and open to any user or organization, as long as you use it under this license and ensure originator credit in any derivative to The BlackBerry Research & Intelligence Team"
        date = "2021-10"
    strings:
        $str1 = "NetTcpBinding"
        $str2 = "CheckConnect"
        $str3 = "EnvironmentSettings"
        $str4 = "Init"
        $str5 = "GetUpdates"
        $str6 = "IRemoteEndpoint"
        $str7 = "TaskID"
        $str8 = "ReleaseID"
        $str9 = "ScanDetails"
        $str10 = "InstalledBrowsers"
        $str11 = "FtpConnections"
        $str12 = "ScanBrowsers"
        $str13 = "ScanFiles"
        $str14 = "ScanFTP"
        $str15 = "ScanWallets"
        $str16 = "ScanScreen"
        $str17 = "ScanTelegram"
        $str18 = "ScanVPN"
        $str19 = "ScanSteam"
        $str20 = "ScanDiscord"
        $str21 = "ScanFilesPaths"
        $str22 = "BlockedCountry"
        $str23 = "BlockedIP"
    condition:
        uint16(0) == 0x5a4d and
        all of ($str*)
}

 

侵入の痕跡 (IoCs)

RedLine Infostealer の SHA256:

  • 770e6bbe4c4f4e7abfbb4a533d28f8e44c5a374aa05dc3c333d7f15594e217e7
  • 5bb7ab8d474109d82d8dfa3aae223df280517fe425a54d33d16ef5d00d49fcc1
  • 6455dd7f5e772aaf3e1ebb9ff72fff2269f42748d08c9f0671e63511dcfefd63
  •  
  • e7d036c77c92bcc5773be4c2f4b4476282f36c0c05f45ab5b3bf2d275270cf06
  • 98df2ce04f9b2324616e132fdf489b40d2b6c9f370fd27249bce6f83c734bcc5
  • dc540ee7a17ec9ffdad1cb751684bdc1511779d98385a21d8b9942b492d9c033
  • 3d43207b1a548897c03fecb53ee1f988ff3f8ddc19418eb13eae6c7eba1957cf
  • 89af061e5a63e1a88157f49908904141bc996a38be297435f8cc8de878c3b20c
  • 35c5fd5a98bfd695a904fe9291191f458967c5a1c41163b3c935ccc1d6890594
  • f09bd7803716e46a000b14a9ed21108a6d7c332df032116d52a609431d9d047b
  • d7af5b4a275066da1736f42a0ee09d5d02e3153f9ca0d961aab714f8d419e751
  • 6efdc5392d11ee5f4de7c1702faf89a0de891437a0ccee1f048d05ed3cc1d880
  • 6eb2e477f6322bfb86ba48bff79a85256f594e1d4c567fc1186fa3f23311bbce
  • c92add5e2e6de78a16e7109d63c4518728e3c6daf9f03a42f8537ccc56a0a25a
  • 5940f101c2313af56b4a56a059c9bc99db6384c9d5b2c78d214dcbb4925da303
  • edb8c977167a1103f09ea2eafada3f63d464fd45f8ee9c0b72d51167a349a819
  • fb4635255bf95d89171eee78444e9527edc460e77ab364e83c6f3144a6a6fe65

C2 サーバの IP アドレスとポート番号

  • 104[.]168[.]102[.]108:61986
  • 109[.]248[.]11[.]240:17523
  • 135[.]125[.]40[.]64:15456
  • 135[.]181[.]171[.]9:45918
  • 138[.]124[.]186[.]121:45760
  • 45[.]132[.]104[.]3:52352
  • 45[.]133[.]217[.]148:65255
  • 45[.]137[.]190[.]170:19896
  • 45[.]140[.]146[.]78:6991
  • 45[.]147[.]197[.]123:31820
  • 45[.]156[.]24[.]97:43059
  • 45[.]66[.]9[.]155:41093
  • 45[.]67[.]228[.]152:54641
  • 45[.]87[.]3[.]177:61799
  • 77[.]232[.]38[.]156:35454
  • 77[.]232[.]43[.]79:57581
  • 79[.]141[.]165[.]41:80
  • 80[.]66[.]87[.]32:26062
  • 80[.]85[.]137[.]105:12734
  • 80[.]87[.]192[.]249:16640
  • 84[.]38[.]185[.]103:39821
  • 86[.]105[.]252[.]21:34503
  • 87[.]251[.]71[.]64:80
  • 93[.]189[.]43[.]32:31858
  • 94[.]103[.]81[.]47:41701
  • 95[.]181[.]155[.]242:14148
  • 95[.]181[.]163[.]37:27338
  • 95[.]216[.]43[.]58:40566
  • 95[.]217[.]77[.]23:53845

追加ペイロードの URL

  • hxxps://bitbucket[.]org/ribkadori/main/downloads/Explorer[.]exe
  • hxxps://bitbucket[.]org/ribkadori/main/downloads/Microsoft[.]exe
  • hxxps://siasky[.]net/_ARvTG0s2dXuHsh1hgD7tC4obsCy6AhzXWbzo4hQ6YYJ9g
  • hxxps://cdn[.]discordapp[.]com/attachments/884849322649337868/885902898255523910/SystemAudio[.]exe
  • hxxps://cdn[.]discordapp[.]com/attachments/883772525920784447/883775415821422622/Vitysha[.]exe
  • hxxps://iplogger[.]org/1GxAb7
  • hxxp://www[.]w3[.]org/2005/08/addressing/soap/fault
  • hxxps://cryptorelated[.]net/CurrencyCalculatorInstaller[.]exe
  • hxxps://a[.]goatgamei[.]com/userdow/2201/any[.]exe
  • hxxps://iplogger[.]org/1IAiS
  • hxxps://installcb[.]online/40[.]exe
  • hxxps://bitbucket[.]org/Olegiyartsev/build/downloads/WindowsServer[.]exe
  • hxxps://iplogger[.]org/1heUe7
  • hxxps://km[.]popmonster[.]ru/1056935770[.]exe
  • hxxp://sherence[.]ru/WindowsFormsApp2[.]exe
  • hxxp://sherence[.]ru/Obfuscation_Build[.]exe
  • hxxps://drive[.]google[.]com/uc?export=download&id=1yAYLxBjRuQ6JvTqNhzAaD9f7CEUdvM4t
  • hxxps://cdn[.]discordapp[.]com/attachments/890960532625051658/891052472230105118/msetup[.]exe
  • hxxps://ve0[.]popmonster[.]ru/863387648[.]exe
  • hxxps://ksbyz[.]jelikob[.]ru/1441447287[.]exe
  • hxxps://6b4s[.]popmonster[.]ru/1937106983[.]exe
  • hxxps://xre[.]popmonster[.]ru/2143165147[.]exe
  • hxxp://f0571088[.]xsph[.]ru/5[.]exe
  •  hxxps://installcb[.]online/7l[.]exe
  • hxxps://moneybac[.]ru/wlbdugfllvovexjx/calcbtc[.]exe
  • hxxps://cdn[.]discordapp[.]com/attachments/881102543541907476/892025514598998016/TastyMiner[.]exe
  • hxxps://cdn[.]discordapp[.]com/attachments/881102543541907476/885908445490991134/Bandicam[.]exe
  • hxxp://f0581959[.]xsph[.]ru/sss[.]exe
  • hxxps://cli-4576347563476534786[.]s3[.]us-east-2[.]amazonaws[.]com/crypted[.]exe
  • hxxp://a0574980[.]xsph[.]ru/fix[.]exe
  • hxxps://cdn[.]discordapp[.]com/attachments/889569369078779975/890225777457631272/ConHosts[.]exe
  • hxxps://iplogger[.]org/1yFqa7
  • hxxps://cdn[.]discordapp[.]com/attachments/863775676167487490/886320916345290812/aday[.]exe
  • hxxps://cdn[.]discordapp[.]com/attachments/863775676167487490/888027209263091712/Zena[.]exe
  • hxxps://iplogger[.]org/1fq4s7
  • hxxp://212[.]109[.]199[.]108//build3[.]exe
  • hxxp://sherence[.]ru/Stub[.]exe
  • hxxp://sherence[.]ru/qYnjfKljhYhAhBx[.]exe
  • hxxps://xre[.]popmonster[.]ru/703306277[.]exe
  • hxxps://b[.]popmonster[.]ru/187547149[.]exe
  • hxxps://9356[.]popmonster[.]ru/1483777859[.]exe
  • hxxp://a0581414[.]xsph[.]ru/fix[.]exe
  • hxxp://kamikirim[.]my[.]id/Explorer[.]exe
  • hxxps://kdr[.]zarkada[.]ru/507913557[.]exe
  • hxxp://filemix-2[.]ru/file/b4bd9c[.]exe
  • hxxps://sourceforge[.]net/projects/yupo/files/speedtube[.]exe
  • hxxps://9356[.]popmonster[.]ru/807073056[.]exe
  • hxxp://45[.]9[.]20[.]101/c[.]bin
  • hxxp://45[.]9[.]20[.]101/m[.]bin
  • hxxps://cdn[.]discordapp[.]com/attachments/543727270557384729/887705790717239327/1337[.]exe
  • hxxp://f0579340[.]xsph[.]ru/dlllhost[.]exe
  • hxxp://f0579340[.]xsph[.]ru/update[.]exe
  • hxxp://f0575427[.]xsph[.]ru/ash[.]exe
  • hxxps://cdn[.]discordapp[.]com/attachments/888787895530438699/890550987666894848/rcn[.]exe

 

BlackBerry によるサポート

もしRedlineのような脅威にさらされているなら、BlackBerry にお任せください。現在 BlackBerry 製品を利用していなくても問題ありません。

BlackBerry の インシデント対応チーム は、世界的に活躍するコンサルタントから構成され、ランサムウェアや持続的標的型攻撃 (APT) など、さまざまなインシデントへの対応と封じ込めのサービスを専門としています。

弊社はグローバルコンサルティングチームを常に待機させており、ご希望があれば、24 時間サポートと現地支援を提供できます。次の URL からご相談ください。  https://www.blackberry.com/ja/jp/forms/enterprise/contact-us

 

 

・お問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us

・イベント/セミナー情報:https://www.blackberry.com/ja/jp/events/jp-events-tradeshows

・BlackBerry Japan:https://www.blackberry.com/ja/jp

The BlackBerry Research and Intelligence Team

About The BlackBerry Research and Intelligence Team

BlackBerry の Research and Intelligence Team は、新たに生じている脅威と持続的な脅威を検証し、セキュリティ担当者とその所属企業のために、インテリジェンス解析を提供しています。