![微软联合执法机构捣毁全球Lumma窃密软件网络]( "微软联合执法机构捣毁全球Lumma窃密软件网络")
微软在国际执法机构的支持下开展全球打击行动,成功瓦解了一个从事大规模凭证窃取、金融欺诈和勒索软件攻击的恶意软件分发网络。此次行动针对的是Lumma Stealer(拉玛窃密软件),这款信息窃取类恶意软件被数百名威胁行为者用于从近40万台受感染的Windows设备中窃取敏感信息。
这项协同行动由微软数字犯罪调查部门(DCU)、美国司法部、欧洲刑警组织以及私营部门的网络安全合作伙伴共同参与。各方联手查封了2300多个域名,彻底摧毁了Lumma的基础设施,切断了攻击者与受害者之间的联系。
Part01
全球蔓延的恶意软件即服务(MaaS)业务
自2022年起,Lumma Stealer就通过地下论坛作为"即插即用"解决方案向网络犯罪分子兜售,可窃取密码、信用卡号、加密货币钱包和银行凭证等各种信息。其易用性和适应性使其在威胁行为者中广受欢迎,包括Octo Tempest等知名勒索软件组织。
该工具通常通过网络钓鱼活动、恶意广告和恶意软件加载器传播。在今年早些时候的一次攻击活动中,攻击者冒充Booking.com诱导受害者下载含有恶意软件的文件,这种手法甚至能欺骗经验丰富的用户。
微软威胁情报团队持续追踪Lumma的活动,确认了2025年3月至5月期间的大规模感染模式。该公司分享的热力图显示,北美、欧洲和亚洲部分地区是该恶意软件的重灾区。
法律行动与基础设施查封
根据微软官方博客,5月13日微软向美国佐治亚州北区地方法院提起诉讼,成功获得法院命令查封与Lumma控制架构相关的恶意域名。与此同时,美国司法部接管了核心基础设施,欧洲和日本的执法机构也关闭了支持该行动的本地服务器。
目前已有1300多个域名被重定向至微软控制的服务器(即"蜜罐"),这些服务器正在收集情报以保护用户并支持后续调查。此举切断了恶意软件传输窃取数据或接收攻击者指令的能力。
恶意软件背后的商业模式
Lumma不仅是一个恶意软件,更是一项生意。它采用分级订阅模式销售,基础版凭证窃取工具售价250美元,完整源代码访问权限则高达2万美元。其创建者"Shamel"以创业公司的方式运营,使用独特的鸟类标志和淡化恶意意图的标语进行推广。
2023年Shamel在接受安全研究人员采访时声称拥有400名活跃客户。尽管参与大规模欺诈活动,他仍公开露面,这反映出更广泛的问题:网络犯罪分子在执法不力或缺乏国际合作的司法管辖区逍遥法外。
行业响应与未来展望
此次打击行动获得了ESET、Cloudflare、Lumen、CleanDNS、BitSight和GMO Registry等多家企业的支持,各方在识别基础设施、共享威胁情报或快速高效执行查封方面发挥了重要作用。
马萨诸塞州网络安全公司Black Duck的基础设施安全实践总监托马斯·理查兹表示:"这展现了执法部门与行业合作的强大力量。捣毁该网络将保护数十万人,但同样重要的是后续工作,要确保受害者得到警示和支持。"理查兹补充说,近年来恶意软件即服务市场的扩张需要跨部门持续协作来限制其危害。
用户防护建议
虽然此次行动打击了最猖獗的网络信息窃取工具之一,但Lumma只是众多日常威胁中的一种。微软和安全专家建议公众:
Lumma Stealer因其高效和大规模作案能力深受网络犯罪分子青睐。通过关闭其基础设施,微软及其合作伙伴有效削弱了恶意行为者的运作能力。但只要网络犯罪仍有利可图,这场斗争就将持续下去。
参考来源:
Microsoft Dismantles Lumma Stealer Network, Seizes 2,000+ Domainshttps://hackread.com/microsoft-dismantle-lumma-stealer-domain-seized/
推荐阅读
电台讨论![微软联合执法机构捣毁全球Lumma窃密软件网络]( "微软联合执法机构捣毁全球Lumma窃密软件网络")
原文始发于微信公众号(FreeBuf):微软联合执法机构捣毁全球Lumma窃密软件网络
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/4092356.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论