趋势科技威胁情报助力国际刑警组织摧毁信息窃取器基础设施

趋势科技作为关键私营部门合作伙伴,在国际刑警组织主导的"安全行动"中提供全球威胁遥测数据与恶意软件分析,协助26国执法机构摧毁2万多个恶意IP与域名,查获41台犯罪服务器并逮捕32名嫌疑人。

行动安全:趋势科技威胁情报助力国际刑警组织摧毁信息窃取器基础设施

在本博客中,我们将讨论趋势科技如何在"安全行动"(Operation Secure)中发挥关键作用。这项多国执法行动摧毁了遍布亚洲和太平洋地区的广泛信息窃取器恶意软件活动的基础设施。

关键成果:

  • 趋势科技作为"安全行动"的关键私营部门合作伙伴,该行动摧毁了信息窃取器恶意软件活动,使执法机构能够取缔超过20,000个恶意IP和域名,并逮捕相关网络犯罪分子
  • 联合行动查获41台犯罪服务器和超过100 GB的关键网络犯罪数据,并主动通知超过216,000名受害者以促快速采取保护行动
  • 趋势科技利用其先进的全球威胁遥测技术,提供可操作的情报和恶意软件分析,使可疑IP地址的清除率达到79%,加强了亚太地区的网络防御工作
  • 我们的调查还发现Vidar、Lumma Stealer和Rhadamanthys是本次行动中检测到的最主要的信息窃取器家族

趋势科技参与了最近完成的"安全行动",成功破坏了遍布亚洲和太平洋地区的广泛信息窃取器恶意软件活动的基础设施。

这项多国倡议汇集了来自26个国家的执法机构和专家,取缔了超过20,000个恶意IP地址和域名,查获了41台犯罪服务器和超过100 GB的数据,并逮捕了32名与网络犯罪有关的个人。“安全行动"于2025年1月至4月进行,与执法部门合作,通知了超过216,000名受害者,使其能够快速采取保护措施。

作为该行动的三个私营部门合作伙伴之一,我们提供了关键的情报和恶意软件分析,利用我们广泛的全球威胁遥测技术生成详细且可操作的数据,使执法部门能够识别恶意服务器并精确定位犯罪基础设施。这次成功的行动实现了79%的可疑IP地址清除率。

香港执法部门分析了超过1,700条情报线索,并确定了89个托管提供商中的117个命令与控制(C&C)服务器,这些服务器被用于网络钓鱼和欺诈活动。

与此同时,越南当局逮捕了18名嫌疑人,并查获了与账户欺诈计划有关的设备和SIM卡。斯里兰卡和瑙鲁的警方也进行了住宅搜查,逮捕了14人并确定了40名受害者。

这些行动说明了服务器识别如何在跨国网络犯罪行动中推动战术破坏和战略逮捕。

图1:安全行动数据统计

针对日益增长的信息窃取器活动

在国际刑警组织的主导下,我们的专家专门识别了用于信息窃取器和其他恶意软件活动部署和C&C通信的恶意服务器。这些服务器是网络犯罪运营的核心基础设施,识别它们对执法取缔至关重要。这些服务器控制受感染的设备,窃取和存储被盗数据,并提供额外的恶意软件有效负载。通过映射和查获这些服务器,执法机构能够大规模破坏运营,收集取证证据并追踪威胁行为者。

这些服务器的识别还促进了实时受害者警报,该行动改善了长期网络犯罪活动破坏的威胁情报,并加强了全球协调。

我们对这些恶意服务器的调查还发现了哪些信息窃取器家族最为活跃,无论是从受感染的服务器部署还是与之通信。以下部分概述了本次行动中发现的主要信息窃取器家族。我们还提供了更多信息和进一步阅读的链接。

Vidar

Vidar是一种流行的恶意软件即服务(MaaS),自2018年以来一直活跃。Vidar能够窃取浏览器凭据、cookie和加密货币钱包等敏感数据。它通常通过恶意广告、网络钓鱼和破解软件传播,还可以作为其他恶意软件(包括勒索软件)的加载器。趋势科技研究在一项调查中揭示了其通过社交媒体的传播。我们之前还观察到样本表明,背后的网络犯罪分子曾尝试转变并使用其策略和技术来提供勒索软件。

图2:观察到的Vidar信息窃取器感染链

Lumma Stealer (LummaC2)

这种快速发展的窃取器即服务在2022年底声名鹊起,并成为2025年最活跃的家族之一。Lumma Stealer专门窃取浏览器凭据、加密钱包和自动填充数据。这种信息窃取器通常利用GitHub等公共平台和内容交付网络进行隐蔽的有效负载传递,但也被观察到滥用Discord的内容交付网络(CDN)进行托管和传递。它是2025年5月欧洲刑警组织与其他行业专家合作进行的一次重大取缔行动的目标。

图3:观察到的Lumma Stealer使用虚假GitHub存储库进行部署的感染链

Rhadamanthys

首次在2022年底观察到,Rhadamanthys是一种复杂的信息窃取器,通过网络钓鱼、虚假安装程序和盗版软件分发。它收集凭据、cookie和详细的系统信息,通过加密通道通信以窃取数据。其可靠性和定制选项使其成为威胁行为者的最爱。

图4:分发信息窃取器的虚假CAPTCHA活动的感染链

持续全球打击网络犯罪

趋势科技参与"安全行动"表明了我们坚定不移地致力于公私合作打击全球网络犯罪。

我们之前曾与国际刑警组织合作开展"协同行动”(Operation Synergia),取缔了超过1,300台C&C服务器,导致30次住宅搜查和识别了70名涉嫌促进网络钓鱼、银行恶意软件和勒索软件活动的嫌疑人。

趋势科技还协助国际刑警组织行动,帮助巴西和西班牙执法机构分析Grandoreiro恶意软件样本,作为其国家网络犯罪调查的一部分,导致逮捕了五名Grandoreiro行动的管理员。

趋势科技还与国际刑警组织合作开展"红牌行动"(Operation Red Card),提供情报帮助逮捕了306名嫌疑人,并查获了1,842台涉及银行、投资和消息应用诈骗的设备。

随着网络犯罪分子不断演变其策略,主动的情报共享和跨境协调对于有效防御仍然至关重要。我们与国际刑警组织的合作伙伴关系持续存在,趋势科技坚持致力于保护我们日益互联的世界。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次