趋势科技威胁情报助力国际刑警组织摧毁信息窃取器基础设施

趋势科技作为关键合作伙伴,在国际刑警组织主导的"安全行动"中提供全球威胁遥测和恶意软件分析,协助摧毁亚太地区信息窃取器基础设施,查获41台犯罪服务器并逮捕32名嫌疑人。

行动安全:趋势科技威胁情报助力国际刑警组织摧毁信息窃取器基础设施

关键要点

  • 趋势科技是"行动安全"行动的关键私营部门合作伙伴,该多国倡议摧毁了信息窃取器恶意软件活动,执法机构取缔了超过20,000个恶意IP和域名,并逮捕了相关网络犯罪分子
  • 合作行动查获了41台犯罪服务器和超过100GB的关键网络犯罪数据,主动通知了超过216,000名受害者以促快速防护行动
  • 趋势科技利用其先进的全球威胁遥测技术,提供可操作的情报和恶意软件分析,实现了79%的可疑IP地址清除率,加强了亚太地区的网络防御工作
  • 我们的调查还发现Vidar、Lumma Stealer和Rhadamanthys是本次行动中检测到的最主要的信息窃取器家族

行动概述

趋势科技参与了最近结束的"行动安全"行动,成功摧毁了遍布亚洲和太平洋地区的广泛信息窃取器恶意软件活动的基础设施。

这项多国倡议汇集了来自26个国家的执法机构和专家,取缔了超过20,000个恶意IP地址和域名,查获了41台犯罪服务器和超过100GB的数据,并逮捕了32名与网络犯罪相关的个人。“行动安全"行动于2025年1月至4月进行,与执法部门合作通知了超过216,000名受害者,使其能够采取快速防护措施。

作为该行动的三个私营部门合作伙伴之一,我们提供了关键情报和恶意软件分析,利用我们广泛的全球威胁遥测技术生成详细且可操作的数据,使执法部门能够识别恶意服务器并精确定位犯罪基础设施。这次成功行动实现了79%的已识别可疑IP地址清除率。

香港执法部门分析了超过1,700条情报线索,并确定了89个托管提供商中的117个命令与控制(C&C)服务器,这些服务器被用于网络钓鱼和欺诈活动。

与此同时,越南当局逮捕了18名嫌疑人,并查获了与账户欺诈计划相关的设备和SIM卡。斯里兰卡和瑙鲁的警察部队也进行了住宅搜查,逮捕了14名个人并确定了40名受害者。

这些行动说明了服务器识别如何在跨国网络犯罪行动中推动战术破坏和战略逮捕。

图1. 行动安全数据统计。图片来源:国际刑警组织

针对日益增长的信息窃取器活动

在国际刑警组织的领导下,我们的专家专门识别了用于信息窃取器和其他恶意软件活动部署和C&C通信的恶意服务器。这些服务器是网络犯罪运营的核心基础设施,识别它们对执法取缔至关重要。这些服务器控制受感染设备、窃取和存储被盗数据,并传递额外的恶意软件有效载荷。通过映射和查获这些服务器,执法机构能够大规模破坏运营,收集取证证据并追踪威胁行为者。

这些服务器的识别还促进了实时受害者警报,该行动改善了威胁情报以进行长期网络犯罪活动破坏,并加强了全球协调。

我们对这些恶意服务器的调查还揭示了哪些信息窃取器家族最为活跃,无论是从受感染服务器部署还是与之通信。以下部分概述了本次行动中发现的主要信息窃取器家族。我们还提供了更多信息和进一步阅读的链接。

Vidar

Vidar是一种流行的恶意软件即服务(MaaS),自2018年以来一直活跃。Vidar能够窃取浏览器凭据、cookie和加密货币钱包等敏感数据。它通常通过恶意广告、网络钓鱼和破解软件传播,还可以作为其他恶意软件(包括勒索软件)的加载器。趋势研究™在一项调查中揭示了其通过社交媒体分发的情况。我们之前还观察到样本表明,背后的网络犯罪分子试图转变并使用他们的策略和技术来传递勒索软件。

图2. Vidar信息窃取器的观察感染链

Lumma Stealer (LummaC2)

这种快速增长的信息窃取器即服务于2022年底声名鹊起,并成为2025年最活跃的家族之一。Lumma Stealer专门窃取浏览器凭据、加密钱包和自动填充数据。这种信息窃取器通常利用GitHub等公共平台和内容分发网络进行隐蔽的有效载荷传递,但也被观察到滥用Discord的内容分发网络(CDN)进行托管和传递。它是2025年5月欧洲刑警组织与其他行业专家合作进行的一次重大取缔行动的目标。

图3. 观察到的Lumma Stealer使用虚假GitHub存储库进行部署的感染链

Rhadamanthys

首次观察到于2022年底,Rhadamanthys是一种复杂的信息窃取器,通过网络钓鱼、虚假安装程序和盗版软件分发。它收集凭据、cookie和详细的系统信息,通过加密通道通信以窃取被盗数据。其可靠性和定制选项使其成为威胁行为者的最爱。

图4. 分发信息窃取器的虚假CAPTCHA活动感染链

继续全球打击网络犯罪的斗争

趋势参与"行动安全"行动强调了我们坚定不移地致力于公私合作打击全球网络犯罪。

我们之前曾与国际刑警组织合作开展"协同行动”,取缔了超过1,300个C&C服务器,导致30次住宅搜查和识别了70名涉嫌促进网络钓鱼、银行恶意软件和勒索软件活动的嫌疑人。

趋势还协助国际刑警组织的行动,帮助巴西和西班牙执法机构分析Grandoreiro恶意软件样本,作为其国家网络犯罪调查的一部分,导致逮捕了五名Grandoreiro行动的管理员。

趋势还与国际刑警组织合作开展"红牌行动",提供情报帮助逮捕了306名嫌疑人,并查获了1,842台涉及银行、投资和消息应用程序诈骗的设备。

随着网络犯罪分子不断演变其策略,主动情报共享和跨境协调对于有效防御仍然至关重要。我们与国际刑警组织的合作伙伴关系持续存在,因为趋势坚持致力于保护我们日益互联的世界。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次