國際執法機構與多家私營科技公司近日宣布,聯合搗毀了一條網路犯罪"流水線"。該犯罪網路累計盜取數百萬條登錄憑證,並通過勒索軟體及其他欺詐手段非法獲利逾4700萬美元。
此次行動的核心是同步打擊兩款在各類網路詐騙中被廣泛使用的惡意工具。其一是Amadey——一款惡意軟體即服務平台,用於入侵設備並投放勒索軟體等惡意載荷。Amadey自2018年前後便已被發現活躍於網路,去年還曾被檢測到利用GitHub收集受感染設備的系統資訊並安裝定製化惡意載荷。其二是StealC——一款資訊竊取即服務平台,專門用於收集賬號密碼、身份驗證Cookie、加密貨幣錢包、瀏覽器擴展程序以及符合客戶自定義規則的文件。
Amadey與StealC本是相互獨立運營的兩款工具,但由於二者使用廣泛,許多犯罪分子在實施攻擊時會同時使用這兩款工具。此外,經微軟藉助AI對這兩款工具進行深度分析後發現,二者在底層基礎設施上存在重疊。這一關鍵發現使微軟律師團隊得以向法院申請同步打擊兩款工具的司法命令。
微軟方面表示:"此次行動直指網路犯罪的'流水線'模式——正是這種協同工具體系在驅動勒索軟體攻擊、金融詐騙以及對公共服務的破壞。Amadey幫助攻擊者入侵設備,StealC負責竊取密碼和敏感資訊,二者聯手構成了整個犯罪鏈條的關鍵環節。"
基於兩款工具共用基礎設施的證據,微軟律師援引針對有組織犯罪的《反敲詐勒索及腐敗組織法》(RICO),將二者定性為同一犯罪共謀關係。微軟表示,此次行動共搗毀逾200台命令與控制伺服器,並切斷了犯罪分子對逾18000台受感染電腦的控制。協助協調此次執法行動的歐洲刑警組織(Europol)則表示,已追繳多達2700萬條被盜登錄憑證,並查獲價值4700萬美元的"犯罪來源加密資產"。
歐洲刑警組織表示:"在此次行動中,執法部門與私營合作夥伴共處置了326台伺服器和142個域名,嚴重癱瘓了惡意軟體的分發網路。通過同步打擊這兩款工具,執法機構與私營企業的深度協作大幅提高了網路犯罪的實施門檻,使攻擊更難以得逞、擴散或捲土重來。"
參與本次"獵網行動"(Operation Endgame)的其他企業還包括ESET、Proofpoint、IBM X-Force、Bitsight以及三井物產安全方向公司(Mitsui Bussan Secure Directions)。
歐洲刑警組織還透露,此次"獵網行動"的打擊目標還包括SocGholish——一款與俄羅斯網路犯罪組織Evil Corp相關聯的惡意軟體加載器,主要通過被入侵網站傳播。用戶訪問這些網站後,會被誘騙安裝偽裝成瀏覽器擴展或其他合法軟體的木馬程序。歐洲刑警組織已對受感染的WordPress網站展開清理工作,並敦促相關網站管理員更換憑證、加固安全防護,同時積極通知受SocGholish攻擊影響的數據和憑證泄露方。參與此次執法行動的國家涵蓋加拿大、丹麥、德國、荷蘭、英國和美國。
Q&A
Q1:Amadey和StealC是什麼類型的惡意工具?
A:Amadey是一款惡意軟體即服務平台,主要功能是入侵設備並投放勒索軟體等惡意載荷,自2018年起便已活躍於網路。StealC則是一款資訊竊取即服務平台,專門收集賬號密碼、身份驗證Cookie、加密貨幣錢包、瀏覽器擴展以及用戶自定義規則匹配的文件。兩款工具相互獨立運營,但常被犯罪分子配合使用,共同構成網路攻擊的完整鏈條。
Q2:微軟是如何發現Amadey和StealC共用基礎設施的?
A:微軟利用AI技術對Amadey和StealC進行深度分析,發現二者在底層基礎設施上存在重疊。基於這一關鍵證據,微軟律師援引針對有組織犯罪的RICO法規,將兩款工具定性為同一犯罪共謀,從而獲得司法授權,實現對兩款工具的同步打擊,共搗毀逾200台命令與控制伺服器,並切斷了對逾18000台受感染電腦的控制。
Q3:"獵網行動"最終取得了哪些成果?
A:此次行動成果顯著:執法部門與私營合作夥伴共處置326台伺服器和142個域名,嚴重癱瘓了惡意軟體分發網路;追繳多達2700萬條被盜登錄憑證;查獲價值4700萬美元的犯罪來源加密資產。此外,行動還針對與俄羅斯犯罪組織Evil Corp相關的SocGholish惡意軟體展開清理,並對受感染的WordPress網站進行了修復處理。
