由 Microsoft 數字犯罪部門 (DCU) 牽頭,一支涵蓋科技合作夥伴與執法機構的廣泛聯盟,已經摧毀了危險的 Lumma Stealer 惡意軟體即服務 (MaaS) 運營,該運營在多個網路犯罪團伙(包括勒索軟體團伙)的武器庫中發揮了關鍵作用。
利用今年五月初由美國喬治亞州北區地方法院簽發的法庭命令,DCU 及其盟友查封並關閉了約 2,300 個構成 Lumma 運營核心的惡意域名。
DCU 助理總法律顧問 Steven Masada 表示:「Lumma 竊取密碼、信用卡資訊、銀行賬戶以及加密貨幣錢包,從而使犯罪分子能夠勒索學校、清空銀行賬戶並破壞關鍵服務。」
與此同時,美國司法部 (DoJ) 也查封了 MaaS 的中央指揮結構,並針對出售訪問權限的地下市場採取行動;而在其他地方,Europol 歐洲刑事犯罪中心 (EC3) 以及日本網路犯罪管制中心 (JC3) 則對本地託管的基礎設施展開打擊。
Europol EC3 負責人 Edvardas Sileris 表示:「此次行動清晰地展示了公私合作夥伴關係如何變革網路犯罪鬥爭。通過結合 Europol 的協調能力與 Microsoft 的技術洞察力,一座龐大的犯罪基礎設施已被摧毀。網路罪犯依賴碎片化而生存——但團結一致,我們更為強大。」
在一篇詳細說明此次打擊行動的博客中,Masada 表示,在兩個月內,Microsoft 已識別出超過 394,000 台感染了 Lumma 的 Windows 電腦。這些設備現已被「解放」,因為 Lumma 與其受害者之間的通信已被切斷。
此次聯合行動旨在放慢威脅行為者發動攻擊的速度,降低其活動效果,並通過切斷主要收入來源,阻礙其非法獲利。 ——Steven Masada, Microsoft 數字犯罪部門
與此同時,大約 1,300 個被查封或轉移至 Microsoft 的域名(其中包括 300 個由 Europol 採取行動的)現正重定向至 Microsoft 運營的誘捕伺服器。
Masada 表示:「這將使 Microsoft 的 DCU 能夠提供可操作的情報,繼續強化公司服務的安全性,並幫助保護線上用戶。」 他補充道:「這些洞察還將協助公私部門的合作夥伴在持續追蹤、調查和修復這一威脅的過程中發揮作用。」
「此次聯合行動旨在放慢這些行為者發動攻擊的速度,降低其活動效果,並通過切斷主要收入來源,阻礙他們的非法獲利。」
Lumma 變色龍
Lumma Stealer MaaS 大約三年前首次出現在地下市場,並且自那時以來一直在持續開發中。
Lumma 的開發團隊總部位於俄羅斯,由一名使用 「Shamel」 作為代號的主要開發者運營。Lumma 提供四個級別的服務,起價為 250 美元 (186 英鎊),最高可達令人瞠目結舌的 20,000 美元,購買者可獲得 Lumma 的風格及面板源碼、插件源碼以及作為轉銷商的權利。
在 2023 年與一位網路安全研究員的對話中,Shamel 聲稱其大約擁有 400 名活躍用戶。
在部署時,其目標通常是通過變現竊取的數據或進行進一步的非法利用。就像變色龍一樣,Lumma 難以被察覺,往往可以悄無聲息地繞過眾多安全防護措施。為了誘騙受害者,Lumma 會偽裝成受信任的品牌——包括 Microsoft——並通過釣魚郵件及惡意廣告進行傳播。
因此,它已經成為許多網路罪犯的常用工具,並且已知被世界上一些最臭名昭著的網路犯罪團伙(包括勒索軟體團伙)所使用。據悉,其客戶曾經包括 Scattered Spider,該團伙被認為是英國 Marks & Spencer 勒索軟體攻擊背後的主謀之一,儘管目前沒有公開證據表明其曾在該事件中被使用。
Cloudflare 的 Cloudforce One 負責人 Blake Darché 表示,Cloudflare 在此次打擊行動中提供了重要支持。他說:「Lumma 會侵入您的網頁瀏覽器,竊取您電腦上每一項可能用於獲取金錢或賬戶的資訊——目標受害者可以是任何人、任何地方、任何時間。幕後威脅行為者每天瞄準數百名受害者,獲取他們能抓取到的一切數據。這次打擊使得他們的行動受到嚴重阻礙,延誤了數天的作案進程,關閉了大量域名,並最終阻斷了他們通過網路犯罪獲利的能力。」
Blake Darché 補充道:「儘管這一努力對全球最大的情報竊取工具的基礎設施造成了巨大衝擊,但和其他任何威脅行為者一樣,Lumma 背後的操作者會變換策略,並捲土重來,重新啟動其攻擊活動。」
