数百万微软账户背后:Lattice自动网络攻击如何悄无声息助力
微软的防止数字犯罪部门上周扰乱了一家多产的网络犯罪即服务(CaaS)供应商,该公司称之为Storm-1152,该公司注册了超过7.5亿个欺诈性微软账户,在网上向其他网络犯罪分子出售,在这一过程中赚得数百万美元。
微软DCU总经理Amy Hogan Burney在该组织的一篇帖子中解释道:“Storm-1152运营非法网站和社交媒体页面,销售欺诈性的微软账户和工具。以绕过知名技术平台上的身份验证软件。”。“这些服务减少了罪犯在网上进行一系列犯罪和虐待行为所需的时间和精力。”
与虚假个人资料相关的欺诈账户为网络犯罪分子提供了一个基本上匿名的平台,用于网络钓鱼、垃圾邮件、勒索软件和其他类型的欺诈和滥用等自动化犯罪活动。Storm-1152是虚假账户创建堆的顶端,为许多最知名的网络威胁参与者提供了账户服务。据微软称,其中包括Scattered Spider(又名Octo Tempest),它是今年秋天米高梅大酒店和凯撒娱乐勒索软件的幕后网络犯罪集团。
Hogan Burney还写道,DCU确定了该组织的主要头目。他们都驻扎在越南:Duong Dinh Tu、Linh Van Nguyễn(也称为Nguyễn Van Linh)和Tai Van Nguyen。
她写道:“我们的调查结果显示,这些人操作并编写了非法网站的代码,通过视频教程发布了如何使用其产品的详细分步说明,并提供聊天服务来帮助那些使用其欺诈服务的人。”。
此后,微软向美国执法部门提交了对这三名罪犯的刑事移交。作为干扰的一部分,微软获得了纽约南区的绿灯法庭命令,没收并下线Storm-1152在美国的基础设施,包括:
Hotmailbox.me,一个出售欺诈性Microsoft Outlook账户的网站。1stCAPTCHA、AnyCAPTCHA和CAPTCHA,这些网站销售用于Microsoft和其他技术平台的身份验证绕过工具。用于营销服务的社交媒体网站。一个复杂的Crimeware-as-Service环
研究人员表示,Storm-1152能够绕过验证码等安全检查,生成数百万个与不存在的人有关的微软账户,这一事实突显了该组织的复杂性。
Ontinue负责安全运营的副总裁Craig Jones表示,这场骗局很可能是通过“利用自动化、脚本、DevOps实践和人工智能绕过CAPTCHA等安全措施”实施的。他称CaaS现象是“网络犯罪生态系统的复杂方面……使更广泛的恶意行为者可以使用先进的网络犯罪工具。”
Critical Start网络威胁研究高级经理Callie Guenther指出,“自动验证码解决服务的使用表明其复杂程度相当高,使该集团能够绕过自动创建账户的主要防御之一。”
她补充道,“为了实现这一点,他们可能利用了微软账户创建系统中的漏洞,例如使用了微软安全系统没有立即检测到的模式或漏洞。”
关闭账户滥用
研究人员指出,为了避免在不知情的情况下成为网络犯罪的同谋,平台可以采取一系列措施,包括部署先进的检测算法,以识别和标记大规模的可疑活动,最好是使用人工智能。
对帐户创建实施强多因素身份验证(MFA),尤其是那些具有升级权限的帐户创建,可以显著降低欺诈帐户生成的成功率。但Ontinue的Jones表示,在几个方面还需要做更多的工作。
他解释道:“Storm-1152案件表明,需要不断保持警惕,采取适应性安全措施,协同情报共享,并可能制定更严格的监管框架,以有效应对不断演变的网络威胁。”。
原文链接:https://m.darkreading.com/cloud-security/millions-microsoft-accounts-power-automated-cyberattacks
