由 Microsoft 数字犯罪部门 (DCU) 牵头,一支涵盖科技合作伙伴与执法机构的广泛联盟,已经摧毁了危险的 Lumma Stealer 恶意软件即服务 (MaaS) 运营,该运营在多个网络犯罪团伙(包括勒索软件团伙)的武器库中发挥了关键作用。
利用今年五月初由美国佐治亚州北区地方法院签发的法庭命令,DCU 及其盟友查封并关闭了约 2,300 个构成 Lumma 运营核心的恶意域名。
DCU 助理总法律顾问 Steven Masada 表示:“Lumma 窃取密码、信用卡信息、银行账户以及加密货币钱包,从而使犯罪分子能够勒索学校、清空银行账户并破坏关键服务。”
与此同时,美国司法部 (DoJ) 也查封了 MaaS 的中央指挥结构,并针对出售访问权限的地下市场采取行动;而在其他地方,Europol 欧洲刑事犯罪中心 (EC3) 以及日本网络犯罪管制中心 (JC3) 则对本地托管的基础设施展开打击。
Europol EC3 负责人 Edvardas Sileris 表示:“此次行动清晰地展示了公私合作伙伴关系如何变革网络犯罪斗争。通过结合 Europol 的协调能力与 Microsoft 的技术洞察力,一座庞大的犯罪基础设施已被摧毁。网络罪犯依赖碎片化而生存——但团结一致,我们更为强大。”
在一篇详细说明此次打击行动的博客中,Masada 表示,在两个月内,Microsoft 已识别出超过 394,000 台感染了 Lumma 的 Windows 计算机。这些设备现已被“解放”,因为 Lumma 与其受害者之间的通信已被切断。
此次联合行动旨在放慢威胁行为者发动攻击的速度,降低其活动效果,并通过切断主要收入来源,阻碍其非法获利。 ——Steven Masada, Microsoft 数字犯罪部门
与此同时,大约 1,300 个被查封或转移至 Microsoft 的域名(其中包括 300 个由 Europol 采取行动的)现正重定向至 Microsoft 运营的诱捕服务器。
Masada 表示:“这将使 Microsoft 的 DCU 能够提供可操作的情报,继续强化公司服务的安全性,并帮助保护线上用户。” 他补充道:“这些洞察还将协助公私部门的合作伙伴在持续追踪、调查和修复这一威胁的过程中发挥作用。”
“此次联合行动旨在放慢这些行为者发动攻击的速度,降低其活动效果,并通过切断主要收入来源,阻碍他们的非法获利。”
Lumma 变色龙
Lumma Stealer MaaS 大约三年前首次出现在地下市场,并且自那时以来一直在持续开发中。
Lumma 的开发团队总部位于俄罗斯,由一名使用 “Shamel” 作为代号的主要开发者运营。Lumma 提供四个级别的服务,起价为 250 美元 (186 英镑),最高可达令人瞠目结舌的 20,000 美元,购买者可获得 Lumma 的风格及面板源码、插件源码以及作为转销商的权利。
在 2023 年与一位网络安全研究员的对话中,Shamel 声称其大约拥有 400 名活跃用户。
在部署时,其目标通常是通过变现窃取的数据或进行进一步的非法利用。就像变色龙一样,Lumma 难以被察觉,往往可以悄无声息地绕过众多安全防护措施。为了诱骗受害者,Lumma 会伪装成受信任的品牌——包括 Microsoft——并通过钓鱼邮件及恶意广告进行传播。
因此,它已经成为许多网络罪犯的常用工具,并且已知被世界上一些最臭名昭著的网络犯罪团伙(包括勒索软件团伙)所使用。据悉,其客户曾经包括 Scattered Spider,该团伙被认为是英国 Marks & Spencer 勒索软件攻击背后的主谋之一,尽管目前没有公开证据表明其曾在该事件中被使用。
Cloudflare 的 Cloudforce One 负责人 Blake Darché 表示,Cloudflare 在此次打击行动中提供了重要支持。他说:“Lumma 会侵入您的网页浏览器,窃取您计算机上每一项可能用于获取金钱或账户的信息——目标受害者可以是任何人、任何地方、任何时间。幕后威胁行为者每天瞄准数百名受害者,获取他们能抓取到的一切数据。这次打击使得他们的行动受到严重阻碍,延误了数天的作案进程,关闭了大量域名,并最终阻断了他们通过网络犯罪获利的能力。”
Blake Darché 补充道:“尽管这一努力对全球最大的情报窃取工具的基础设施造成了巨大冲击,但和其他任何威胁行为者一样,Lumma 背后的操作者会变换策略,并卷土重来,重新启动其攻击活动。”
