DanaBot 恶意软件作在全球被查获

快速阅读: 据《Cyber Scoop 独家新闻》最新报道，全球执法机构联合打击网络犯罪，成功瓦解DanaBot恶意软件运营，指控16人涉案。DanaBot被指窃取数据并发动攻击，可能涉及俄罗斯政府背景。多国执法与企业合作，展示国际协作打击网络威胁的决心。

全球范围内的私人防御者与执法机构再度联手，成功瓦解了一位关键的网络犯罪推动者，协调扣押并关闭了DanaBot的指挥与控制服务器，严重干扰了这一恶意软件即服务的运作。美国司法部于本周四对外宣布了这一消息。同时，联邦官员公开了一份大陪审团的起诉书及刑事控告，指控16名个人涉嫌参与DanaBot的开发与部署。

据威胁研究人员透露，这种恶意软件最早是在2018年以银行木马的形式开发的，经过多次更新后，最终演变为信息窃取工具和后续恶意软件加载器。操控并部署DanaBot的俄罗斯网络犯罪组织在全球范围内感染了超过30万台计算机，引发了大量欺诈与勒索软件攻击，造成的经济损失至少达到5000万美元。此次DanaBot的核心解体，标志着它已成为全球僵尸网络的一部分，而这也是两天内全球执法部门针对大规模恶意软件行动的第二次高调打击。就在前一天，全球执法机构和网络安全公司成功捣毁了多产的信息窃取程序Lumma Stealer，该程序曾感染约1000万套系统。

这些扣押行动与刑事指控展示了打击网络犯罪的执法力度显著提升，属于“终结游戏行动”的一部分——这是一项更广泛的持续性国际执法努力，旨在摧毁并起诉网络犯罪组织。同一天，司法部还公开了针对48岁莫斯科居民鲁斯塔姆·拉法伊洛维奇·加里亚莫夫的联邦起诉书，指控他领导着一个负责开发与部署Qakbot恶意软件的网络犯罪集团。该集团在2023年被国际执法部门瓦解。据当局透露，在调查过程中，他们从加里亚莫夫处查获了超过2400万美元的加密货币。

“终结游戏行动”官方网站上的倒计时钟显示，周五早晨将会公布更多有关对抗网络犯罪的消息。当局指出，这16名被控运营DanaBot的被告中有两人尤其值得注意：39岁的亚历山大·斯捷潘诺夫和34岁的阿尔特姆·阿列克谢耶维奇·卡林金，他们是俄罗斯新西伯利亚居民。卡林金与斯捷潘诺夫目前均未被捕，据信仍留在俄罗斯境内。由于美俄之间并无引渡协议，这给抓捕带来了额外难度。

专家分析称，DanaBot具备多种功能，能够让网络罪犯劫持银行会话并从受害者的计算机中窃取数据，其中包括账户密码、设备信息、浏览记录以及加密货币钱包详情等敏感资料。此外，DanaBot还能实现对受害者计算机的全面远程控制，用于记录用户按键和活动视频。司法部指出，第二版僵尸网络专门针对军事、政府及外交领域的计算机发起攻击。这种变种专注于北美地区的军事官员、外交人员和执法人员，所窃取的数据会被发送至一个与DanaBot普通欺诈导向版本不同的服务器上，官方如是说道。

CrowdStrike的威胁研究人员在其周四发布的博客文章中提到，这种兼具间谍与网络犯罪性质的操作让DanaBot（CrowdStrike追踪代号为Scully Spider）区别于典型的金融动机行动。“尽管尚不清楚这些收集到的数据具体用途为何，但我们认为直接利用犯罪基础设施开展情报收集活动提供了有力证据，表明Scully Spider的运营商可能在代表俄罗斯政府的利益行事。”CrowdStrike补充道。

CrowdStrike反对手方行动高级副总裁亚当·迈尔斯表示，揭露俄罗斯政府与DanaBot某些操作之间的关联或许会让俄罗斯政府重新评估其战略方向。威胁研究人员一直在追踪网络犯罪与间谍活动交集的潜在案例，而官员们分享的关于DanaBot的证据则强有力地证明了俄罗斯政府直接介入的程度。“似乎俄罗斯政府有能力限制并利用这个僵尸网络进行间谍活动，”迈尔斯告诉《网络袭击》记者。“我认为这是一种全新的合作方式和相互连接水平，之前从未公开展示过。”

国防刑事调查局（DCIS）网络办公室主任、国防部监察长特别代理人肯尼斯·德切利斯指出：“今天我们宣布的执法行动，得益于全球长期的执法与行业协作，成功破坏了一个重要的网络威胁集团，他们通过窃取受害者的数据以及攻击敏感网络牟取暴利。DanaBot恶意软件对国防部及其合作伙伴构成了明确的威胁。”

FBI阿拉斯加办事处和DCIS主导了对DanaBot的调查工作，在德国、荷兰及澳大利亚联邦警察机构的协助下完成了相关任务。多家网络安全公司也参与了调查与清理工作，其中包括亚马逊、CrowdStrike、ESET、Flashpoint、谷歌、Intel 471、Lumen、PayPal、Proofpoint、Team CYMRU以及ZScaler。

此报道于5月22日更新，并新增了亚当·迈尔斯的评论。

(以上内容均由Ai生成)