美国司法部周四宣布捣毁与DanaBot(又名DanaTools)相关的网络基础设施,并对16名涉嫌参与开发部署该恶意软件的个人提起指控。根据司法部声明,这款由俄罗斯网络犯罪组织操控的恶意软件已感染全球超30万台计算机,造成至少5000万美元损失,目前仍有2名俄罗斯籍主犯在逃。
39岁的亚历山大·斯捷潘诺夫(化名JimmBee)与34岁的阿尔乔姆·卡林金(化名Onix)被列为关键嫌疑人。斯捷潘诺夫面临共谋、电信欺诈、银行欺诈等11项指控,最高可判5年监禁;卡林金被指控非法入侵计算机系统等罪名,最高面临72年刑期。起诉书显示,多名嫌疑人因操作失误导致自身设备感染恶意软件,意外暴露真实身份——部分案例系主动测试恶意软件功能,另一些则纯属意外触发。
作为“Endgame行动”的重要成果,执法部门查封了DanaBot的数十台美国境内C2服务器。司法部指出,该恶意软件通过钓鱼邮件传播,构建僵尸网络实施金融欺诈与勒索攻击。DanaBot采用分层代理架构,受害者流量需经2-3层服务器中转才能抵达最终控制端,日常维持5-6台二级服务器在线,主要受害者集中于巴西、墨西哥与美国。
技术分析显示,DanaBot自2018年5月作为银行木马问世后,逐步发展为模块化恶意软件即服务(MaaS)平台,月租费用500美元起。其功能涵盖数据窃取、银行会话劫持、键盘记录、远程控制等,支持通过加密器(如Matanbuchus)与加载器隐匿行踪。2021年1月出现的定制版本专门针对北美与欧洲的军事、外交及政府实体,具备全设备交互记录能力。
值得注意的是,DanaBot在2020年7月至2024年6月期间几乎未通过邮件传播,转而依赖SEO投毒与恶意广告扩大感染。该组织还曾于2022年3月对乌克兰国防部邮箱系统发动DDoS攻击,并运营两个专门从事情报搜集的子僵尸网络(编号24、25),疑似服务于俄罗斯政府利益。
Proofpoint威胁研究员塞莱娜·拉尔森强调:“此类执法行动不仅削弱恶意软件功能,更迫使犯罪者改变策略,动摇黑产生态信任基础。” 本次行动得到亚马逊、CrowdStrike、ESET等十余家企业的技术支持。
同步披露的另一起案件中,48岁莫斯科居民鲁斯塔姆·加利阿莫夫因运营QakBot僵尸网络被起诉。尽管该网络在2023年8月遭国际执法摧毁,但其团伙转向“垃圾邮件轰炸”等新手法,持续散布Black Basta与CACTUS勒索软件。美方已对查获的2400万美元加密货币启动民事没收程序。
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容