行动安全:趋势科技威胁情报助力国际刑警组织摧毁信息窃取器基础设施
关键要点
- 趋势科技作为"安全行动"的关键私营部门合作伙伴,协助执法机构摧毁了20,000多个恶意IP和域名,逮捕了相关网络犯罪分子
- 合作行动查获了41个犯罪服务器和超过100GB的关键网络犯罪数据,并主动通知了216,000多名受害者以促快速防护行动
- 趋势科技利用其先进的全球威胁遥测技术,提供可操作情报和恶意软件分析,实现了79%的可疑IP地址清除率
- 调查发现Vidar、Lumma Stealer和Rhadamanthys是此次行动中最主要的信息窃取器家族
行动概述
趋势科技参与了最近完成的"安全行动",成功破坏了亚太地区广泛传播的信息窃取器恶意软件活动的基础设施。
这项多国倡议汇集了来自26个国家的执法机构和专家,摧毁了超过20,000个恶意IP地址和域名,查获了41个犯罪服务器和超过100GB的数据,并逮捕了32名与网络犯罪相关的个人。“安全行动"于2025年1月至4月进行,与执法部门合作通知了超过216,000名受害者,以促快速防护对策。
作为该行动的三个私营部门合作伙伴之一,我们提供了关键情报和恶意软件分析,利用我们广泛的全球威胁遥测技术生成详细且可操作的数据,使执法部门能够识别恶意服务器并精确定位犯罪基础设施。这次成功行动实现了79%的已识别可疑IP地址清除率。
香港执法部门分析了超过1,700条情报线索,并确定了89个托管提供商中的117个命令与控制(C&C)服务器,这些服务器被用于网络钓鱼和欺诈活动。
同时,越南当局逮捕了18名嫌疑人,并查获了与账户欺诈计划相关的设备和SIM卡。斯里兰卡和瑙鲁的警察部队也进行了住宅突袭,逮捕了14人并确定了40名受害者。
这些行动说明了服务器识别如何在跨国网络犯罪行动中推动战术破坏和战略逮捕。
针对日益增长的信息窃取器活动
在国际刑警组织的领导下,我们的专家专门识别了用于信息窃取器和其他恶意软件活动部署和C&C通信的恶意服务器。这些服务器是网络犯罪运营的核心基础设施,识别它们对执法部门的取缔行动至关重要。这些服务器控制受感染设备、窃取和存储被盗数据,并提供额外的恶意软件有效载荷。通过映射和查获这些服务器,执法机构能够大规模破坏运营,收集取证证据并追踪威胁行为者。
这些服务器的识别还促进了实时受害者警报,该行动改善了长期网络犯罪活动破坏的威胁情报,并加强了全球协调。
我们对这些恶意服务器的调查还揭示了哪些信息窃取器家族作为从受感染服务器部署或与之通信最为活跃。以下部分概述了在此次行动中发现的主要信息窃取器家族。我们还提供了更多信息和进一步阅读的链接。
Vidar
Vidar是一种流行的恶意软件即服务(MaaS),自2018年以来一直活跃。Vidar能够窃取浏览器凭据、cookie和加密货币钱包等敏感数据。它通常通过网络恶意广告、网络钓鱼和破解软件传播,还可以作为其他恶意软件(包括勒索软件)的加载器。趋势研究™在一项调查中揭示了其通过社交媒体分发的情况。我们还曾观察到样本表明,背后的网络犯罪分子试图转变并使用他们的策略和技术来提供勒索软件。
Lumma Stealer (LummaC2)
这种快速增长的窃取器即服务于2022年底声名鹊起,并在2025年成为最活跃的家族之一。Lumma Stealer专门窃取浏览器凭据、加密钱包和自动填充数据。该信息窃取器经常利用GitHub等公共平台和内容分发网络进行隐蔽的有效载荷传递,但也曾被观察到滥用Discord的内容分发网络(CDN)进行托管和传递。它是2025年5月欧洲刑警组织与其他行业专家合作进行的一次重大取缔行动的目标。
Rhadamanthys
首次观察到于2022年底,Rhadamanthys是一种复杂的信息窃取器,通过网络钓鱼、虚假安装程序和盗版软件分发。它收集凭据、cookie和详细的系统信息,通过加密通道通信以窃取被盗数据。其可靠性和定制选项使其成为威胁行为者的最爱。
持续全球打击网络犯罪
趋势参与"安全行动"强调了我们在打击全球网络犯罪的公私合作中的坚定承诺。
我们此前曾与国际刑警组织合作开展"协同行动”,摧毁了超过1,300个C&C服务器,导致30次住宅搜查和识别了70名促进网络钓鱼、银行恶意软件和勒索软件活动的嫌疑人。
趋势还协助国际刑警组织行动,帮助巴西和西班牙执法机构分析Grandoreiro恶意软件样本,作为其国家网络犯罪调查的一部分,导致逮捕了五名Grandoreiro行动的管理员。
趋势还与国际刑警组织合作开展"红牌行动",提供情报帮助逮捕了306名嫌疑人,并查获了1,842台涉及银行、投资和消息应用程序诈骗的设备。
随着网络犯罪分子不断演变其策略,主动情报共享和跨境协调对于有效防御仍然至关重要。我们与国际刑警组织的合作伙伴关系持续存在,因为趋势坚持其保护我们日益互联世界的承诺。