国际联合行动打击网络犯罪"流水线"，破获逾4700万美元非法资产

国际执法机构与多家私营科技公司近日宣布，联合捣毁了一条网络犯罪"流水线"。该犯罪网络累计盗取数百万条登录凭证，并通过勒索软件及其他欺诈手段非法获利逾4700万美元。

此次行动的核心是同步打击两款在各类网络诈骗中被广泛使用的恶意工具。其一是Amadey——一款恶意软件即服务平台，用于入侵设备并投放勒索软件等恶意载荷。Amadey自2018年前后便已被发现活跃于网络，去年还曾被检测到利用GitHub收集受感染设备的系统信息并安装定制化恶意载荷。其二是StealC——一款信息窃取即服务平台，专门用于收集账号密码、身份验证Cookie、加密货币钱包、浏览器扩展程序以及符合客户自定义规则的文件。

Amadey与StealC本是相互独立运营的两款工具，但由于二者使用广泛，许多犯罪分子在实施攻击时会同时使用这两款工具。此外，经微软借助AI对这两款工具进行深度分析后发现，二者在底层基础设施上存在重叠。这一关键发现使微软律师团队得以向法院申请同步打击两款工具的司法命令。

微软方面表示："此次行动直指网络犯罪的'流水线'模式——正是这种协同工具体系在驱动勒索软件攻击、金融诈骗以及对公共服务的破坏。Amadey帮助攻击者入侵设备，StealC负责窃取密码和敏感信息，二者联手构成了整个犯罪链条的关键环节。"

基于两款工具共用基础设施的证据，微软律师援引针对有组织犯罪的《反敲诈勒索及腐败组织法》（RICO），将二者定性为同一犯罪共谋关系。微软表示，此次行动共捣毁逾200台命令与控制服务器，并切断了犯罪分子对逾18000台受感染计算机的控制。协助协调此次执法行动的欧洲刑警组织（Europol）则表示，已追缴多达2700万条被盗登录凭证，并查获价值4700万美元的"犯罪来源加密资产"。

欧洲刑警组织表示："在此次行动中，执法部门与私营合作伙伴共处置了326台服务器和142个域名，严重瘫痪了恶意软件的分发网络。通过同步打击这两款工具，执法机构与私营企业的深度协作大幅提高了网络犯罪的实施门槛，使攻击更难以得逞、扩散或卷土重来。"

参与本次"猎网行动"（Operation Endgame）的其他企业还包括ESET、Proofpoint、IBM X-Force、Bitsight以及三井物产安全方向公司（Mitsui Bussan Secure Directions）。

欧洲刑警组织还透露，此次"猎网行动"的打击目标还包括SocGholish——一款与俄罗斯网络犯罪组织Evil Corp相关联的恶意软件加载器，主要通过被入侵网站传播。用户访问这些网站后，会被诱骗安装伪装成浏览器扩展或其他合法软件的木马程序。欧洲刑警组织已对受感染的WordPress网站展开清理工作，并敦促相关网站管理员更换凭证、加固安全防护，同时积极通知受SocGholish攻击影响的数据和凭证泄露方。参与此次执法行动的国家涵盖加拿大、丹麦、德国、荷兰、英国和美国。

Q&A

Q1：Amadey和StealC是什么类型的恶意工具？

A：Amadey是一款恶意软件即服务平台，主要功能是入侵设备并投放勒索软件等恶意载荷，自2018年起便已活跃于网络。StealC则是一款信息窃取即服务平台，专门收集账号密码、身份验证Cookie、加密货币钱包、浏览器扩展以及用户自定义规则匹配的文件。两款工具相互独立运营，但常被犯罪分子配合使用，共同构成网络攻击的完整链条。

Q2：微软是如何发现Amadey和StealC共用基础设施的？

A：微软利用AI技术对Amadey和StealC进行深度分析，发现二者在底层基础设施上存在重叠。基于这一关键证据，微软律师援引针对有组织犯罪的RICO法规，将两款工具定性为同一犯罪共谋，从而获得司法授权，实现对两款工具的同步打击，共捣毁逾200台命令与控制服务器，并切断了对逾18000台受感染计算机的控制。

Q3："猎网行动"最终取得了哪些成果？

A：此次行动成果显著：执法部门与私营合作伙伴共处置326台服务器和142个域名，严重瘫痪了恶意软件分发网络；追缴多达2700万条被盗登录凭证；查获价值4700万美元的犯罪来源加密资产。此外，行动还针对与俄罗斯犯罪组织Evil Corp相关的SocGholish恶意软件展开清理，并对受感染的WordPress网站进行了修复处理。