由 Microsoft 數(shù)字犯罪部門 (DCU) 牽頭,一支涵蓋科技合作伙伴與執(zhí)法機構(gòu)的廣泛聯(lián)盟����,已經(jīng)摧毀了危險的 Lumma Stealer 惡意軟件即服務(wù) (MaaS) 運營��,該運營在多個網(wǎng)絡(luò)犯罪團伙(包括勒索軟件團伙)的武器庫中發(fā)揮了關(guān)鍵作用。
利用今年五月初由美國佐治亞州北區(qū)地方法院簽發(fā)的法庭命令����,DCU 及其盟友查封并關(guān)閉了約 2,300 個構(gòu)成 Lumma 運營核心的惡意域名。
DCU 助理總法律顧問 Steven Masada 表示:“Lumma 竊取密碼����、信用卡信息、銀行賬戶以及加密貨幣錢包��,從而使犯罪分子能夠勒索學(xué)校�、清空銀行賬戶并破壞關(guān)鍵服務(wù)?���!?
與此同時,美國司法部 (DoJ) 也查封了 MaaS 的中央指揮結(jié)構(gòu)���,并針對出售訪問權(quán)限的地下市場采取行動;而在其他地方�����,Europol 歐洲刑事犯罪中心 (EC3) 以及日本網(wǎng)絡(luò)犯罪管制中心 (JC3) 則對本地托管的基礎(chǔ)設(shè)施展開打擊��。
Europol EC3 負責(zé)人 Edvardas Sileris 表示:“此次行動清晰地展示了公私合作伙伴關(guān)系如何變革網(wǎng)絡(luò)犯罪斗爭�。通過結(jié)合 Europol 的協(xié)調(diào)能力與 Microsoft 的技術(shù)洞察力��,一座龐大的犯罪基礎(chǔ)設(shè)施已被摧毀���。網(wǎng)絡(luò)罪犯依賴碎片化而生存——但團結(jié)一致��,我們更為強大���。”
在一篇詳細說明此次打擊行動的博客中�,Masada 表示,在兩個月內(nèi)�����,Microsoft 已識別出超過 394,000 臺感染了 Lumma 的 Windows 計算機�����。這些設(shè)備現(xiàn)已被“解放”����,因為 Lumma 與其受害者之間的通信已被切斷。
此次聯(lián)合行動旨在放慢威脅行為者發(fā)動攻擊的速度����,降低其活動效果���,并通過切斷主要收入來源,阻礙其非法獲利��。 ——Steven Masada, Microsoft 數(shù)字犯罪部門
與此同時����,大約 1,300 個被查封或轉(zhuǎn)移至 Microsoft 的域名(其中包括 300 個由 Europol 采取行動的)現(xiàn)正重定向至 Microsoft 運營的誘捕服務(wù)器。
Masada 表示:“這將使 Microsoft 的 DCU 能夠提供可操作的情報����,繼續(xù)強化公司服務(wù)的安全性,并幫助保護線上用戶�。” 他補充道:“這些洞察還將協(xié)助公私部門的合作伙伴在持續(xù)追蹤�、調(diào)查和修復(fù)這一威脅的過程中發(fā)揮作用?���!?
“此次聯(lián)合行動旨在放慢這些行為者發(fā)動攻擊的速度,降低其活動效果����,并通過切斷主要收入來源��,阻礙他們的非法獲利���?!?
Lumma 變色龍
Lumma Stealer MaaS 大約三年前首次出現(xiàn)在地下市場,并且自那時以來一直在持續(xù)開發(fā)中�����。
Lumma 的開發(fā)團隊總部位于俄羅斯���,由一名使用 “Shamel” 作為代號的主要開發(fā)者運營�����。Lumma 提供四個級別的服務(wù)��,起價為 250 美元 (186 英鎊)��,最高可達令人瞠目結(jié)舌的 20,000 美元���,購買者可獲得 Lumma 的風(fēng)格及面板源碼、插件源碼以及作為轉(zhuǎn)銷商的權(quán)利����。
在 2023 年與一位網(wǎng)絡(luò)安全研究員的對話中�,Shamel 聲稱其大約擁有 400 名活躍用戶��。
在部署時����,其目標通常是通過變現(xiàn)竊取的數(shù)據(jù)或進行進一步的非法利用。就像變色龍一樣��,Lumma 難以被察覺�,往往可以悄無聲息地繞過眾多安全防護措施。為了誘騙受害者�,Lumma 會偽裝成受信任的品牌——包括 Microsoft——并通過釣魚郵件及惡意廣告進行傳播。
因此����,它已經(jīng)成為許多網(wǎng)絡(luò)罪犯的常用工具,并且已知被世界上一些最臭名昭著的網(wǎng)絡(luò)犯罪團伙(包括勒索軟件團伙)所使用��。據(jù)悉���,其客戶曾經(jīng)包括 Scattered Spider��,該團伙被認為是英國 Marks & Spencer 勒索軟件攻擊背后的主謀之一����,盡管目前沒有公開證據(jù)表明其曾在該事件中被使用。
Cloudflare 的 Cloudforce One 負責(zé)人 Blake Darché 表示����,Cloudflare 在此次打擊行動中提供了重要支持。他說:“Lumma 會侵入您的網(wǎng)頁瀏覽器�,竊取您計算機上每一項可能用于獲取金錢或賬戶的信息——目標受害者可以是任何人�����、任何地方����、任何時間。幕后威脅行為者每天瞄準數(shù)百名受害者���,獲取他們能抓取到的一切數(shù)據(jù)�����。這次打擊使得他們的行動受到嚴重阻礙�����,延誤了數(shù)天的作案進程�,關(guān)閉了大量域名,并最終阻斷了他們通過網(wǎng)絡(luò)犯罪獲利的能力��?����!?
Blake Darché 補充道:“盡管這一努力對全球最大的情報竊取工具的基礎(chǔ)設(shè)施造成了巨大沖擊���,但和其他任何威脅行為者一樣��,Lumma 背后的操作者會變換策略����,并卷土重來��,重新啟動其攻擊活動��?����!?
