本月早些時(shí)候，針對(duì)Lumma惡意軟件即服務(wù)（MaaS）信息竊取行動(dòng)的協(xié)同破壞行動(dòng)在全球范圍內(nèi)凍結(jié)了數(shù)千個(gè)域名及其基礎(chǔ)設(shè)施的一部分。

這一行動(dòng)涉及多家科技公司和執(zhí)法機(jī)構(gòu)，導(dǎo)致微軟在2025年5月13日對(duì)惡意軟件采取法律行動(dòng)后，查封了大約2300個(gè)域名。

與此同時(shí)，美國司法部（DOJ）通過查封Lumma的控制面板，破壞了向網(wǎng)絡(luò)犯罪分子出租惡意軟件的市場(chǎng)，而歐洲刑警組織（Europol）的歐洲網(wǎng)絡(luò)犯罪中心（EC3）和日本網(wǎng)絡(luò)犯罪控制中心（JC3）則幫助查封了Lumma在歐洲和日本的基礎(chǔ)設(shè)施。

在2025年3月16日至5月16日期間，微軟在全球范圍內(nèi)發(fā)現(xiàn)了超過39.4萬臺(tái)Windows電腦感染了Lumma惡意軟件。與執(zhí)法部門和行業(yè)合作伙伴合作，切斷了惡意工具和受害者之間的聯(lián)系。

Lumma Stealer的破壞行為使Lumma運(yùn)營商無法訪問其控制面板、被盜數(shù)據(jù)市場(chǎng)以及用于促進(jìn)數(shù)據(jù)收集和管理的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施。這些措施給Lumma運(yùn)營商及其客戶帶來了運(yùn)營和財(cái)務(wù)成本，迫使他們?cè)谔娲A(chǔ)設(shè)施上重建服務(wù)。

其他參與針對(duì)Lumma基礎(chǔ)設(shè)施聯(lián)合行動(dòng)的公司包括ESET、CleanDNS、Bitsight、Lumen、GMO Registry和全球律師事務(wù)所Orrick。

域名查封橫幅

Cloudflare表示，Lumma Stealer濫用他們的服務(wù)來隱藏服務(wù)器的原始IP地址，這些服務(wù)器是威脅者用來收集被盜憑據(jù)和數(shù)據(jù)的。

即使在暫停了該操作使用的域名后，惡意軟件也繞過了Cloudflare的間隙警告頁面，導(dǎo)致該公司采取額外措施阻止數(shù)據(jù)泄露。

Cloudflare的信任和安全團(tuán)隊(duì)反復(fù)標(biāo)記犯罪分子使用的域名，并暫停了他們的賬戶。

在2025年2月，Lumma的惡意軟件被觀察到繞過了Cloudflare的間隙警告頁面，這是Cloudflare用來破壞惡意行為者的一種對(duì)策。作為回應(yīng)，Cloudflare將Turnstile服務(wù)添加到插頁警告頁面中，因此惡意軟件無法繞過它。

什么是Lumma惡意軟件

Lumma（也被稱為LummaC2）是一款惡意軟件即服務(wù)信息竊取軟件，目標(biāo)是Windows和macOS系統(tǒng)，網(wǎng)絡(luò)犯罪分子可以以250美元到1000美元的價(jià)格租用該軟件。

該惡意軟件具有高級(jí)逃避和數(shù)據(jù)竊取功能，通常通過各種渠道傳播，包括GitHub評(píng)論、deepfake裸體生成器網(wǎng)站和惡意廣告來感染受害者。

在入侵系統(tǒng)后，Lumma可以從web瀏覽器和應(yīng)用程序中竊取數(shù)據(jù)，包括加密貨幣錢包和cookie、憑證、密碼、信用卡和b谷歌Chrome、Microsoft Edge、Mozilla Firefox和其他Chromium瀏覽器的瀏覽歷史記錄。

然后，這些被盜數(shù)據(jù)被收集到一個(gè)檔案中，并發(fā)送回攻擊者控制的服務(wù)器，攻擊者將在網(wǎng)絡(luò)犯罪市場(chǎng)上出售這些信息，或?qū)⑵溆糜谄渌簟?/p>

該軟件于2022年12月首次在網(wǎng)絡(luò)犯罪論壇上出售，KELA報(bào)告稱，僅僅幾個(gè)月后，該軟件就在網(wǎng)絡(luò)犯罪分子中流行起來。

正如IBM X-Force的《2025年威脅情報(bào)報(bào)告》所指出的那樣，去年在暗網(wǎng)上出售的信息偽造者憑證增加了12%，而通過網(wǎng)絡(luò)釣魚提供的信息偽造者數(shù)量大幅增加了84%，其中Lumma是最普遍的。

Lumma已被用于大規(guī)模惡意廣告活動(dòng)，影響了數(shù)十萬臺(tái)pc，并被許多臭名昭著的威脅組織和惡意分子使用，包括 Scattered Spider 網(wǎng)絡(luò)犯罪集團(tuán)。

最近，利用竊取信息的惡意軟件竊取的數(shù)據(jù)已經(jīng)成為PowerSchool、HotTopic、CircleCI和Snowflake的高影響漏洞的幕后黑手。

除了被用來破壞公司網(wǎng)絡(luò)之外，infostealer惡意軟件竊取的憑證也被用來通過破壞網(wǎng)絡(luò)路由信息來造成混亂，正如威脅者劫持Orange Spain RIPE帳戶來錯(cuò)誤配置BGP路由和RPKI配置所示。

本周，F(xiàn)BI和CISA還發(fā)布了一份聯(lián)合咨詢報(bào)告，詳細(xì)介紹了與部署Luma惡意軟件的威脅者相關(guān)的入侵指標(biāo)（ioc）和已知戰(zhàn)術(shù)、技術(shù)和程序（TTPs）。

參考及來源：https://www.bleepingcomputer.com/news/security/lumma-infostealer-malware-operation-disrupted-2-300-domains-seized/