美國司法部聯同荷蘭和芬蘭當局於 5 月 27 日查封 4 個為網絡罪犯提供加密服務的域名和相關伺服器,成功搗破一個協助惡意軟件逃避安全軟件偵測的網上犯罪集團。法國、德國、丹麥、葡萄牙和烏克蘭亦參與這次跨國執法行動。
加密服務助長網絡犯罪活動
美國司法部表示加密是使用軟件令惡意程式難以被防毒軟件偵測的過程。查封的域名包括 AvCheck[.]net、Cryptor[.]biz 和 Crypt[.]guru,現時均顯示查封通告。這些域名向網絡罪犯提供服務,包括反防毒(CAV)工具。CAV 和加密服務結合使用時,罪犯能夠混淆惡意軟件,令其無法偵測並實現未經授權存取電腦系統。
荷蘭官員形容 AvCheck 為全球不法分子使用的最大 CAV 服務之一。根據互聯網檔案館截圖,AvCheck[.]net 自稱為「高速防毒掃描時間檢查器」,向註冊用戶提供針對 26 個防毒引擎掃描檔案的功能,以及使用 22 個防毒引擎和黑名單掃描域名和 IP 地址。
司法部透露當局進行秘密購買分析這些服務,確認它們用於網絡犯罪。執法部門發現網絡罪犯利用這些工具完善惡意軟件,令其能夠躲過防火牆、逃避鑑識分析,對受害者系統造成嚴重破壞。
PureCrypter 成新威脅工具
加拿大網絡安全公司 eSentire 詳細介紹 PureCrypter,一種惡意軟件即服務(MaaS)解決方案,用於透過 ClickFix 初始存取載體分發 Lumma 和 Rhadamanthys 等資訊竊取程式。
威脅行為者 PureCoder 在 Hackforums[.]net 上推銷這項服務,收費為 3 個月 159 美元(約 1,240 港元)、1 年 399 美元(約 3,112 港元)或終身使用 799 美元(約 6,232 港元)。該加密器透過自動化 Telegram 頻道 @ThePureBot 分發,該頻道同時作為 PureRAT 和 PureLogs 等其他產品的市場。
PureCoder 要求用戶確認服務條款協議,聲稱該軟件僅供教育用途,任何違規行為將導致立即撤銷其存取權限和序列號。然而,惡意軟件實際上整合了在運行 Windows 24H2 或更新版本的機器上修補記憶體中 NtManageHotPatch API 的能力,重新啟用基於進程空洞化的程式碼注入。
eSentire 指出該惡意軟件採用多種逃避技術,包括 AMSI 繞過、DLL 解鉤、反虛擬機偵測、反除錯措施,以及最近新增透過 NtManageHotPatch API 修補繞過 Windows 11 24H2 安全功能的能力。開發者使用欺騙性營銷策略,基於 AvCheck[.]net 結果宣傳「完全未偵測」(FUD)狀態,但 VirusTotal 顯示多個防毒和端點偵測與回應解決方案能夠偵測,揭示偵測率存在重大差異。
持續打擊網絡犯罪生態系統
這次域名查封行動屬於 Operation Endgame 的一部分,這是 2024 年啟動的持續全球行動,目標是瓦解網絡犯罪。繼破壞 Lumma Stealer、DanaBot 以及數百個用於傳送勒索軟件的惡意軟件家族域名和伺服器後,這標誌著近期第四次重大行動。
FBI 候斯頓特別探員主管 Douglas Williams 表示,網絡罪犯不只創造惡意軟件,他們完善它以達到最大破壞力。惡意行為者利用反防毒服務,改進他們對抗世界最強大安全系統的武器,更好地躲過防火牆、逃避鑑識分析,對受害者系統造成嚴重破壞。
企業面對日益精密的惡意軟件威脅,需要採取多層防禦策略。除依賴傳統防毒軟件外,企業應部署行為分析、端點偵測與回應(EDR)解決方案,以及定期更新安全修補程式。員工培訓同樣重要,確保他們能夠識別可疑活動和釣魚企圖。
隨著威脅行為者快速適應並設計繞過新安全機制的方法,企業必須保持警覺並持續更新防禦策略。執法部門的國際合作顯示打擊網絡犯罪需要全球協調努力,單靠技術防禦已不足以應對現今複雜的威脅環境。預期未來將有更多類似行動,進一步削弱網絡犯罪基礎設施。