破壞網路犯罪的閘道服務

Storm-1152 在高度專業化的網路犯罪即服務生態系統中發揮著重要作用。網路犯罪分子需要欺詐性帳戶來支援其高度自動化的犯罪活動。由於公司能夠快速識別和關閉欺詐性帳戶，犯罪分子需要更多的帳戶來規避緩解措施。網路犯罪分子無需花時間試圖創建數千個欺詐帳戶，只需從 Storm-1152 和其他組織購買即可。這使犯罪分子能夠將精力集中在網路釣魚、垃圾郵件、勒索軟體以及其他類型的欺詐和濫用的最終目標上。Storm-1152 和類似的組織使大量網路犯罪分子能夠更高效地進行惡意活動。

Microsoft 威脅情報已識別出多個使用 Storm-1152 帳戶從事勒索軟體、數據盜竊和勒索的團體。例如，Octo Tempest，也稱為 Scattered Spider，從 Storm-1152 獲得了欺詐性的 Microsoft 帳戶。Octo Tempest 是一個出於經濟動機的網路犯罪組織，它利用廣泛的社交工程活動來破壞遍及全球的組織，以進行金融勒索。Microsoft 繼續跟蹤從 Storm-1152 購買欺詐帳戶以增強其攻擊的多個其他勒索軟體或勒索威脅行為者，包括 Storm-0252 和 Storm-0455。

12 月 7 日星期四，Microsoft 獲得了紐約南區的法院命令，沒收 Storm-1152 在美國的基礎設施，並關閉其用來傷害 Microsoft 客戶的離線網站。雖然我們的案件聚焦在欺詐性 Microsoft 帳戶上，但這些受到衝擊的網站還售出各類服務以繞過其他知名技術平臺上的安全措施。因此，今天的行動具有更廣泛的影響，使 Microsoft 以外的使用者受益。具體而言，Microsoft 的數位犯罪部門已中斷：

Microsoft 致力於為地球上的每個人和組織提供安全的數字體驗。我們與 Arkose Labs 密切合作，部署下一代 CAPTCHA 防禦解決方案。該解決方案要求每位希望開設 Microsoft 帳戶的潛在使用者表示他們是人類（而非機器人），並通過解決各種類型的挑戰來驗證該表示的準確性。

作為 Arkose Labs 的創始人兼首席執行官，Kevin Gosschalk 如是說：『Storm-1152 是一個強大的敵人，其唯一目的是通過授權對手進行複雜的攻擊來牟利。該集團的特點是，它在光天化日下而不是在暗網上建立了 CaaS業務。Storm-1152 作為典型的互聯網持續經營者運營，為其工具提供培訓，甚至提供全面的客戶支援。實際上，Storm-1152 是通往嚴重欺詐的解鎖閘道。』

Storm-1152 的活動不僅通過出售欺詐性帳戶違反了 Microsoft 的服務條款，而且還故意尋求傷害 Arkose Labs 的客戶，並欺騙假裝是合法使用者的受害者，以試圖繞過安全措施。

我們對 Storm-1152 活動的分析包括檢測、分析、遙測、秘密測試購買和逆向工程，以查明託管在美國的惡意基礎設施。Microsoft 威脅情報和  Arkose 網路威脅情報研究 部門 （ACTIR）提供了額外的數據和見解，以加強我們的法律案例。

作為調查的一部分，我們能夠確認主使 Storm-1152 行動的參與者身份 - Duong Dinh Tu、Linh Van Nguyễn（也稱為 Nguyễn Van Linh）和 Tai Van Nguyen，定點與越南。我們的調查結果顯示，這些人操作並編寫了非法網站的代碼，通過視頻教程發佈了有關如何使用其產品的詳細分步說明，並提供聊天服務以幫助那些使用其欺詐服務的人。

此後，Microsoft 向美國執法部門提交了刑事轉介。我們感謝與執法部門的合作，他們可以將那些意圖傷害我們客戶的人繩之以法。
 

今天的行動是 Microsoft 戰略的延續，該戰略瞄準更廣泛的網路犯罪生態系統，並針對網路犯罪分子用來發動攻擊的工具。它建立在我們擴展成功用於破壞惡意軟體和主權國家運作的法律方法的基礎之上。我們還與業內其他組織合作，增加有關欺詐的情報共用，並進一步增強我們的人工智慧和機器學習演算法，以快速檢測和標記欺詐帳戶。

正如我們之前所說，破壞不是一蹴而就的。追查網路犯罪需要堅持不懈和持續的警惕，以破壞新的惡意基礎設施。雖然今天的法律行動將影響 Storm-1152 的運營，但我們預計其他威脅行為者將因此調整其技術。如果我們想有意義地削弱網路犯罪的影響，那麼持續的公共和私營部門合作，就像今天與 Arkose Labs 和美國執法部門一樣，仍然至關重要。