Trace Id is missing

大膽打擊欺詐行動:破壞 Storm-1152

共用
五顏六色的圓圈陣列和各種圖示。

概觀

2023 年 3 月,Microsoft 的一個主要客戶經歷了連續的垃圾郵件網路攻擊,導致客戶的系統中斷。

原因是什麼? 一連串為欺詐而建立的 Microsoft Outlook 和 Hotmail 帳戶,試圖從提供給潛在使用者測試試用的客戶服務中獲益,即使這些虛假帳戶從未打算為這些服務付費。因此,客戶封鎖了所有來自 Microsoft Outlook 和 Hotmail 位址註冊的新帳戶。

事實上,這次攻擊是由一家位於越南的大型欺詐企業發起,Microsoft 稱為 Storm-1152 的組織。

Storm-1152 經營非法網站和社交媒體頁面,出售詐騙的 Microsoft 帳戶和工具,以繞過知名技術平台上的身分識別驗證軟體。Storm-1152 提供網路犯罪的閘道服務,減少了犯罪分子在線上進行大量犯罪和濫用行為所需的時間和精力。這個組織總共建立了大約 7.5 億個詐騙的 Microsoft 帳戶,賺取了數百萬美元的非法收入,並使 Microsoft 和其他公司為打擊犯罪活動付出了更大代價。

事實證明,多個組織正使用 Storm-1152 帳戶進行勒索軟體、資料盜竊和勒索,包括​ Octo TempestStorm-0252、 Storm-0455 和其他團隊。其帳戶銷售業務已成為線上最大的網路犯罪即服務提供者之一。

2022 年以來,Microsoft 一直在追蹤這種惡意活動的增加情形,使用更多的機器學習演算法以防止和偵測這些詐騙帳戶的建立模式。然而,由於濫用 Microsoft 和合作夥伴平台的行為不斷升級,2023 年春季代表了一個轉捩點。我們需要採取更積極的行動,因此 Microsoft 和合作夥伴 Arkose Labs 成立了一個跨職能團隊。

採取行動之後,我們立即觀察到註冊的流量大約減少了 60%。這個 60% 的下降幅度或更多的註冊非常相似,我們的演算法或合作夥伴後來確定其為濫用行為,我們隨後暫停了 Microsoft 服務。 

透過協調和努力,Microsoft 的數位犯罪小組 (DCU) 採取了行動首先2023 年 12 月採取的法律行動,沒收並關閉了 Storm-1152 銷售服務的網站。採取行動之後,我們立即觀察到註冊的流量大約減少了 60%。這個 60% 的下降幅度或更多的註冊非常相似,我們的演算法或合作夥伴後來確定其為濫用行為,我們隨後暫停了 Microsoft 服務。7 月 23 日,我們提起了第二次民事訴訟,以破壞該組織在 12 月訴訟提起後試圖建立的新基礎結構。

這份新興的威脅報告探討了行動幕後運作情況,並強調了跨產業合作應對網路威脅的重要性。這是產業利用法律途徑協助制止其他團體的案例,同時能確保個人線上安全。它還說明了持續破壞的重要性,即使網路罪犯改變了策略,法律行動仍然是對付網路犯罪的有效方法。歸根結底,沒有任何動作是能一勞永逸的。

Storm-1152 的探索和識別

2023 年 2 月,Microsoft 威脅情報中心 (MSTIC) 的資深安全性研究員 Matthew Mesa 觀察到越來越多的 Microsoft Outlook 帳戶被利用於大規模的網路釣魚活動。在他的任務中,Mesa 分析電子郵件活動,尋找可疑的活動。他持續看到詐騙帳戶的使用一直增加,他問自己:「這些帳戶是否都相互關聯?」

他隨即建立了一個新的威脅行為者檔案 Storm-1152,並開始追蹤其活動,並將他的發現標幟給 Microsoft 的身分識別團隊。Microsoft 反濫用和欺詐防禦團隊的首席產品經理 Shinesa Cambric 也一直在追蹤這種惡意活動,並注意到自動帳戶 (Bot) 有所增加,試圖擊敗用於保護 Microsoft 消費者服務註冊過程中 CAPTCHA 的挑戰。​

「我的團隊既關注我們的消費者體驗,也關注企業體驗,這意味著我們每天都在保護數十億個帳戶免受欺詐和濫用,」Cambric 解釋說。「我們的職責是了解威脅行為者使用的方法,以便我們能夠規避攻擊並防止他們存取我們的系統。我們一直在思考預防的方法,意即我們能事先阻止這些不良行為者。」

引起她注意的是此活動相關的欺詐行為越來越嚴重。當多方 (Microsoft 合作夥伴以及我們供應鏈的一部分) 紛紛報告這些 Bot 建立的 Microsoft 帳戶造成危害,Cambric 開始採取行動。

Cambric 的團隊與網路安全性防禦和 Bot 管理供應商 Arkose Labs 一起合作,致力於識別和關閉該組織的詐騙帳戶,並與 Microsoft MSTIC 的威脅情報同事和 Arkose 網路威脅情報研究部門 (ACTIR) 分享工作細節。

「我們的職責是了解威脅行為者使用的方法,以便我們能夠規避攻擊並防止他們存取我們的系統。我們一直在思考預防的方法,意即我們能事先阻止這些不良行為者。」 
Shinesa Cambric 
Microsoft  反濫用和欺詐防禦團隊首席產品經理

「最初,我們的任務是保護 Microsoft 免受惡意帳戶建立的影響,」Arkose Labs 首席客戶官 Patrice Boffa 解釋說,「但 Storm-1152 被確定為一個組織,我們便開始收集大量的威脅情報。」

了解 Storm-1152

作為一個以財務為動機的發展團隊,Storm-1152 因其網路犯罪即服務 (CaaS) 產品脫穎而出,組織能力和專業性異常出色。Storm-1152 像一家合法公司一樣營運,在光天化日之下進行違法的 CAPTCHA 破解服務。

「如果不知道這是一個惡意組織,您可以會將它與其它 SaaS 公司相提並論,」 
Patrice Boffa
Arkose Labs 首席客戶官

「如果不知道這是一個惡意組織,您可以會將它與其它 SaaS 公司相提並論,」Boffa 補充說 Storm-1152 的 AnyCAPTCHA.com 是一個向大眾公開的網站,透過 PayPal 接受加密貨幣支付,甚至提供客戶服務管道。

這個服務使用 Bot 大量收集 CAPTCHA 令牌,並出售給客戶,然後客戶在令牌過期之前將其使用於不正當目的 (例如大量建立詐騙的 Microsoft 帳戶供以後網路攻擊使用)。嘗試設定詐騙帳戶的方式快速又有效率,Arkose Labs 團隊得出結論,該組織正使用自動化的機器學習技術。 

「當我們體驗了他們對於我們緩解作業的適應,我們意識到他們的很多攻擊都有 AI 的支援,」Boffa 說。「與我們見過的其他對手相比,Storm-1152 利用了 AI 的創新方式。」 Arkose Labs 和 Microsoft 團隊已觀察到商務策略的變化,以適應更多偵測和預防工作。

最初,Storm-1152 專注於為犯罪分子提供服務,以繞過其他技術公司的安全性防禦,​Microsoft​是最大的受害者。Storm-1152 提供的服務繞過​​ 防禦以建立詐騙帳戶,然後在感應到偵測後提供了新服務。該組織沒有提供工具繞過帳戶建立的防禦,而是透過自己的 Bot 收集 CAPTCHA 破解令牌,建立詐騙 Microsoft 帳戶以供轉售。

「我們在 Storm-1152 上觀察到典型的情況,」Boffa 說。「每次抓住威脅行為者時,他們都會再做其他嘗試。保持領先他們,無疑是一場貓捉老鼠的遊戲。」

針對 Storm-1152 提起法律訴訟

當詐騙活動在 2023 年 3 月達到沸點時,Cambric 和 Mesa 與 Microsoft 的數位犯罪小組 (DCU) 進行了互動,看看還能做些什麼。

作為 Microsoft 的外部執法部門,DCU 通常只追捕最嚴重或最頑固的行為者。它側重於顛覆以提高其經營成本,刑事轉介和/或民事訴訟是主要工具。

Microsoft DCU 網路犯罪執法團隊的首席法律顧問 Sean Farrell、Microsoft DCU 網路犯罪執法團隊調查首席經理 Jason Lyons 和資深網路調查員 Maurice Mason 齊聚一堂,做進一步調查。他們協調了 Microsoft 的外部法律顧問,設計法律策略,並收集提起民事訴訟所需的證據,從 Microsoft 的多個團隊和 Arkose Labs 收集的威脅情報中取得深入解析。

「當 DCU 參與進來時,已經完成了很多工作,」Lyons 回憶道。「身分識別團隊和 Arkose Labs 已經在身分識別和關閉帳戶上完成了大量工作,並且由於 MSTIC 能夠將詐騙帳戶連結到某些層級的基礎結構,我們認為這將是很棒的 DCU 法律案例。」

促成形成值得追捕案件的一些因素 包括擁有可用於民事訴訟的法律、具有管轄地以及公司願意個別公開名稱。

Lyons 將這些因素的考慮比作一個分類過程,DCU 檢查事實和資訊,以便協助確定都能成為好的案例。「根據我們的職責,我們會自問是否願意花費時間和精力來採取行動,」他說。「這種影響程度是否值得我們投入資源?」 在這種情況下的答案是肯定的。

Mason 的任務是處理 Storm-1152 的網路犯罪即服務活動的歸因。「我的職責是追蹤 Storm-1152 將這些詐騙帳戶出售給其他威脅行為者團體的做法,並識別 Storm-1152 背後的每個人,」Mason 解釋道。

透過他們的調查工作,包括對社交媒體頁面和支付識別碼深入檢閱,Microsoft 和 Arkose Labs 識別出 Storm-1152 背後的每個人,包括 Duong Dinh Tu、Linh Van Nguyễn (也稱為 Nguyễn Van Linh) 和 Tai Van Nguyen。

他們的調查結果顯示,這些人操作並編寫了非法網站的程式碼,透過影片教學課程發佈了其產品逐步執行的詳細做法,並提供聊天服務以幫助那些用來進行詐騙服務的人。然後與該小組的技術基礎結構建立額外的連接,讓團隊能夠精確定位到美國的主機。

「我們在 DCU 採取這些行動的原因之一是制止網路犯罪分子造成的影響。我們透過提起訴訟,或提供能促成逮捕和起訴的刑事轉介來做到這一點。」
Sean Farrell 
Microsoft 網路犯罪執法團隊首席法律顧問

Farrell 在描述推進此案的決定時說:「我們在這裡很幸運,因為團隊的出色工作,他們確定了建立基礎結構和刑事服務的行為者。

我們在 DCU 採取這些行動的原因之一是制止網路犯罪分子造成的影響。我們透過提起訴訟或提供能促成逮捕和起訴的刑事轉介來做到這一點。我認為,當能夠識別出行為者並在美國的法律訴狀中公開指出他們時,便會釋放出非常強烈的訊息。」​​

Storm-1152 的重新出發和採取第二次法律行動​

雖然在 2023 年 12 月中斷後團隊發現基礎結構立即卸除,但 Storm-1152 重新推出一個名為 RockCAPTCHA 的新網站,還有新的使用說明影片來協助他們的客戶。RockCAPTCHA 透過專門設計用來針對 Microsoft 的供應項目,試圖擊敗 Arkose Labs 的 CAPTCHA 安全性措施。7 月的行動使得 Microsoft 能夠控制該網站,並給行為者帶來另一次的打擊。

Arkose 網路威脅情報研究部門 (ACTIR) 還仔細研究了 Storm-1152 試圖重建服務的做法。他們觀察到該組織使用更複雜的策略,包括加強對 AI 的利用,以混淆他們的活動並逃避偵測。這種 捲土重來的做法象徵威脅形勢正在轉變,展示了精通 AI 技術攻擊者的進階能力。 

Storm-1152 整合 AI 的主要領域之一是規避的技術。Arkose Labs 已經看到該組織使用 AI 來生成類似人類的特徵。

Vikas Shetty 是 Arkose Labs 的產品主管,並領導威脅研究部門 ACTIR。「使用 AI 模型使攻擊者能夠訓練出類似人類特徵的系統,然後可以在攻擊中大規模地使用,」Shetty 說。「這些特徵的複雜性和多樣性使得傳統的偵測方法難以跟上。」

此外,Arkose Labs 觀察到 Storm-1152 試圖招募和僱用 AI 工程師,包括碩士生、博士生,甚至越南和中國等國家的教授。

「這些人開發可以繞過複雜安全性措施的進階 AI 模型,而獲得報酬。這些 AI 工程師的專業知識確保這些模型不僅有效,而且能夠適應不斷進化的安全性協定,」Shetty 說。

堅持不懈並有意義地去破壞網路犯罪分子行動是重要的關鍵,追蹤網路犯罪分子的行動以及其採用的新技術也是如此。

「我們必須繼續堅持不懈,採取行動使犯罪分子更難賺錢,」Farrell 說。「這就是為什麼我們提起了第二次訴訟的原因,為了控制這個新域名。我們需要發出一個訊息,我們對於試圖傷害我們客戶和線上每個人的活動,絕對不會容忍。」

經驗教訓和未來影響

在回顧調查和破壞 Storm-1152 的成果時,Farrell 指出,這個案例很重要的原因不僅是因為它對我們和其他受影響的公司產生的影響,還因為 Microsoft 努力控制這些行動的影響,這些行動是整個網路犯罪即服務生態系統的一部分。

向公眾傳達的強烈訊息

「表示我們可以有效地應用法律槓桿並利用於惡意程式碼攻擊和民族國家行動,這顯著緩解或補救了行為者活動,在我們提起訴訟後相當長的一段時間內,這種活動已經下降到幾乎為零的狀態。」Farrell 說。「我認為從中我們看到可以真正的制止,而公眾從這裡獲得的訊息很重要,不僅是為了降低影響,也是為了線上社群的更大利益。」

身分識別中的新存取媒介

另一個重要的觀察結果,威脅行為者從試圖入侵端點,普遍轉變為先處理身分識別。  我們看到在大多數勒索軟體攻擊中,威脅行為者正在利用被盜或遭入侵的身份作為初始攻擊媒介。
「這種趨勢表示了,身分識別將如何成為即將發生事件的初始存取媒介,」Mason 說。「在為他們的組織建模時,首席資訊安全官可能希望對身分識別採取更嚴肅的立場。首先多多關注身分識別,然後再轉向端點。」

持續創新必不可缺

Storm-1152 的重新出發及注入 AI 的策略強調了網路威脅不斷進化的特性。他們巧妙地使用 AI 來逃避和解決挑戰,這也給傳統的安全性措施帶來了重大挑戰。組織必須透過採用進階的 AI 驅動的偵測和緩解技術來適應這些威脅,並領先於這些威脅。
「Storm-1152 的案例提醒了網路安全性領域持續創新的迫切需要,以抵消精通 AI 的攻擊者所採用的複雜策略。」Shetty 說。「隨著這些團隊的不斷發展,抵禦他們的防禦措施也必須如此。」

我們理解在未來的日子裡,我們將持續面臨新的安全性挑戰,但我們從這次行動中學到的經驗秉持樂觀態度。作為防禦者社群的一員,我們了解在共同利益服務方面可以更好地合作,而且在面對網路犯罪時,公用和私人部門持續的共同作業必不可缺。

Farrell 說:「這項行動是跨團隊的共同作業,結合威脅情報、身分識別保護、調查、歸因、法律行動和外部合作夥伴關係的努力,這就是我們應該努力運作的模型。」

相關文章

破壞網路犯罪的閘道服務

Microsoft 在 Arkose Labs 的威脅情報支援下,正在採取技術和法律行動,制止詐騙 Microsoft 帳戶的建立者與頭號賣家,這個組織我們稱為 Storm-1152。我們正在觀察、關注並將採取行動保護我們的客戶。
深入了解

Microsoft、Amazon 和國際執法部門聯合打擊技術支持欺詐

了解 Microsoft 和 Amazon 首次聯手取締印度各地非法技術支援呼叫中心的做法。
深入了解

與破壞醫院和危及生命的駭客作鬥爭

在 Microsoft,軟體製造商 Fortra 和 Health-ISAC 之間的聯合行動進入幕後,以破壞破解的 Cobalt Strike 伺服器,並使網路犯罪分子更難操作。
深入了解

關注 Microsoft 安全性