此篇文章報導了名為Lumma Stealer的惡意竊資軟體,在經過微軟與多國執法機構的圍剿後,未能根除其活動,反而以更加隱蔽的手段回歸,並迅速恢復其攻擊規模。5月21日,微軟與資安機構聯手協助破壞Lumma Stealer的基礎設施,封鎖了超過2,300個惡意網域,成功減少了約39萬台受害電腦的感染。然而,僅僅兩個月後,這些駭客便再次活躍,並在6月至7月間以更加隱密的方式繼續其攻擊。
在5月的執法行動後,Lumma Stealer的開發者透過地下論壇XSS透露了他們遭遇的困境。這些駭客報告稱,近2,500個網域名稱被封鎖,但由於其伺服器設置在執法機構難以管轄的地區,伺服器設備未被沒收,並且駭客團隊利用iDRAC(Dell整合式遠端存取控制器)中的漏洞入侵伺服器,對其進行磁碟格式化。更進一步,駭客還將其管理主控台替換為一個釣魚網站,進行個人端IP位址和網路攝影機存取方式的收集。
然而,作者強調,儘管遭遇了這些重大損失,Lumma Stealer的團隊仍迅速恢復了伺服器存取管道,並停用了存在漏洞的遠端管理介面,成功讓其業務得以復甦。
趨勢科技追蹤到,雖然執法行動後,Lumma Stealer的活動有短暫下降,但自6月起,駭客的攻擊規模已經恢復至執法前的水準。具體來說,駭客的活動恢復了顯著的增長,而原本依賴Cloudflare基礎設施來混淆惡意網域的策略也有所改變。文章指出,Lumma Stealer的駭客已經轉而使用其他供應商,尤其是來自俄羅斯的Selectel雲端基礎設施,這樣做能減少被追蹤的風險。
另一個顯示Lumma Stealer復甦的跡象是他們積極利用多種手段來散布其竊資軟體。根據報導,這些駭客通過四種主要渠道來擴散Lumma Stealer:假冒破解軟體或序號生成器的網站、ClickFix網釣攻擊、濫用GitHub儲存庫,以及在YouTube和臉書等社交媒體平台上進行宣傳。
本文指出,儘管執法機構和資安公司成功打擊了Lumma Stealer的基礎設施,這場持續的戰鬥顯示出駭客在面對打擊後的快速回應與適應能力。他們不僅能迅速恢復攻擊規模,還改變了作法來減少被監視與追蹤的風險。對此,資安專家提醒企業和用戶,需時刻保持警覺,加強防範措施,因為駭客的攻擊手段和策略不斷演變,讓人難以完全根除。