One-two punch delivered in global operation disrupts cybercrime "assembly line"

TL;DR · AI 摘要
国际联合行动通过同时打击Amadey和StealC两个工具,切断了网络犯罪的‘流水线’,影响超过18,000台受感染设备。
核心要点
- Amadey和StealC是两个被广泛用于网络犯罪的工具,分别用于设备入侵和信息窃取。
- 微软通过AI分析发现两者共享基础设施,从而同时采取法律行动。
- 此次行动摧毁了200多个C2服务器,恢复了2700万被盗登录凭证。
结构提纲
按章节快速跳转。
思维导图
用一张图看清主题之间的关系。
查看大纲文本(无障碍 / 无 JS 友好)
- 网络犯罪‘流水线’的打击行动
- Amadey
- 设备入侵工具
- 2018年首次被观察到
- StealC
- 信息窃取工具
- 收集密码和敏感信息
- 微软的AI分析
- 发现共享基础设施
- 法律行动同时打击两者
金句 / Highlights
值得收藏与分享的关键句。
Amadey和StealC是两个被广泛用于网络犯罪的工具,分别用于设备入侵和信息窃取。
微软通过AI分析发现两者共享基础设施,从而同时采取法律行动。
此次行动摧毁了200多个C2服务器,恢复了2700万被盗登录凭证。
全球行动一击双杀,破坏网络犯罪“流水线” - Ars Technica
2 只鸟,1 块石头
全球行动一击双杀,破坏网络犯罪“流水线”
“Operation Endgame”同时破坏了两种广泛使用的犯罪工具。
Dan Goodin
–
2026 年 6 月 24 日 下午 5:03
|
12
图片来源:Alex Schmidt / Getty Images
按钮
文本设置
面板
故事文本
大小
小
标准
大
宽度
*
宽
链接
橙色
- 仅限订阅者
了解更多
最小化到导航栏
国际当局和多家私营科技公司表示,他们已经破坏了一个网络犯罪“流水线”,该流水线使罪犯能够收集数百万个登录凭证,并通过勒索赎金和其他欺诈手段窃取超过 4700 万美元。
此次行动的核心是同时针对两种互不相关的工具,这些工具在各种在线诈骗中被广泛使用。第一种是 Amadey,这是一个用于入侵设备并交付恶意负载的恶意软件即服务(malware-as-a-service)平台,用于勒索软件和其他诈骗。自至少 2018 年以来,Amadey 就在野外被观察到,去年还被发现利用 GitHub 来收集受感染设备的系统信息并安装定制的负载。第二种工具是 StealC,这是一个信息窃取即服务(infostealer-as-a-service)平台,用于收集凭证、认证 cookie、加密货币钱包、浏览器扩展和文件名与客户定义模式匹配的文件。
剪断网络犯罪链条中的关键环节
Amadey 和 StealC 是两个独立的工具,彼此之间没有依赖关系。然而,由于它们的广泛使用,许多客户在各自的网络犯罪活动中同时使用两者。结果发现,这两个工具还依赖于一些相同的底层基础设施来运行。微软表示,它在使用人工智能分析这些工具后得出了这一结论。这一洞察使微软的律师能够寻求一项同时破坏这两者的命令。
微软周三表示:“此次行动针对的是网络犯罪‘流水线’,其中协调的工具驱动着勒索软件、金融欺诈以及对公共服务的破坏。”“Amadey 和 StealC 经常被一起使用:Amadey 帮助攻击者获得设备访问权限,而 StealC 则窃取密码和敏感信息。它们一起构成了链条中的一个关键环节。”
在确认这些工具具有重叠基础设施的证据后,公司律师援引了针对有组织犯罪的《反有组织犯罪法》(RICO)条款;随后,法律行动将这两种工具视为一个单一阴谋的一部分。因此,微软表示,它破坏了 200 多个命令与控制服务器,并切断了超过 18000 台受感染计算机的犯罪控制。协助协调此次行动执法部分的欧洲刑警组织表示,它成功恢复了多达 2700 万个被盗登录凭证,并发现了价值 4700 万美元的“犯罪来源加密资产”。
欧洲刑警组织表示:“在此次行动中,执法部门和私营部门合作伙伴共采取了 326 台服务器和 142 个域名的行动,严重破坏了恶意软件的分发网络。”“通过同时拆除这些工具,执法部门与私营部门的合作增加了网络犯罪分子的摩擦,使攻击更难成功、传播或恢复。”
协助“Operation Endgame”的其他公司包括 ESET、Proofpoint、IBM X-Force、Bitsight 和 Mitsui Bussan Secure Directions。
欧洲刑警组织表示,在“最终行动”中被破坏的另一款工具是 SocGholish,这是一种与俄罗斯网络犯罪集团 Evil Corp. 相关联的恶意软件加载器,它通过被入侵的网站进行传播。访问这些网站的用户会被欺骗,安装伪装成浏览器扩展或其他合法软件的特洛伊木马程序。欧洲刑警组织表示,他们已通过清理被感染的 WordPress 网站,并敦促这些网站的管理员更改凭证并加强安全措施来作出回应。此外,他们还努力通知那些数据和凭证因 SocGholish 活动而被泄露的相关方。参与此次执法行动的国家包括加拿大、丹麦、德国、荷兰、英国和美国。
高级安全编辑
Dan Goodin 是 Ars Technica 的高级安全编辑,他负责监督恶意软件、计算机间谍活动、僵尸网络、硬件黑客攻击、加密和密码方面的报道。在工作之余,他喜欢园艺、烹饪以及关注独立音乐界。Dan 基于旧金山。你可以在这里关注他:
here
在 Mastodon 上,以及
在 Bluesky 上。可以通过 Signal 联系他,联系方式是 DanArs.82。
12 条评论