微软利用AI在敲诈勒索诉讼中关联两个恶意软件操作

微软及其合作伙伴联合国际执法机构，在AI技术的辅助下，成功破坏了两款广泛使用的恶意软件及其基础设施。这一行动标志着网络安全打击策略的转变，从针对单一工具转向打击网络攻击供应链。

微软数字犯罪部门助理总法律顾问Steven Masada在博客中表示，此次行动的新颖之处在于将AI分析与法律手段的扩展应用相结合，特别是利用了美国《反敲诈勒索及腐败组织法》(RICO)。以往微软主要利用RICO等法律针对单一网络犯罪服务或基础设施采取行动。

此次破坏行动涉及封禁、暂停和阻止了超过200个域名和命令与控制(C2)服务器，这些服务器构成了StealC和Amadey恶意软件基础设施的核心。多家安全公司，包括ESET、BitSight、三井物产安全指导(MBSD)、IBM X-Force和Proofpoint，也参与了瓦解这些涉嫌犯罪活动的行动。

结合上周宣布的针对SocGholish的破坏行动，由欧洲刑警组织领导的执法联盟标记并限制了价值超过4700万美元的加密货币资产，并追回了约2700万个被盗凭证。

StealC和Amadey是由不同犯罪团伙开发的两个独立恶意软件，但它们使用相同的基础设施并协同运作。StealC收集多种浏览器凭证和Cookie、加密货币钱包、来自消息应用的聊天记录以及其他敏感数据，并将窃取的数据外泄到C2服务器。它还充当辅助加载器，允许租用该窃取器的犯罪分子在受感染设备上下载其他恶意软件。Amadey是一种恶意软件即服务，用于分发StealC及其他窃取器，以及远程访问木马、加密货币挖矿机和勒索软件等其他恶意软件。仅在5月的前两周，Amadey和StealC就与全球超过14万台受感染计算机相关。

Masada表示：“仅仅逐个打击威胁已经不够，我们需要阻断攻击的组装方式。”在此案中，微软的调查人员使用Copilot和其他AI工具分析两种恶意软件及其基础设施，“用自然语言提问，而不是手动梳理复杂代码”，这帮助在更短的时间内发现关键细节、隐藏数据并测试结果，将原本需要数小时或数天的工作缩短到几分钟，使团队能够更快地发现关联。其中一个关键细节是：Amadey和StealC使用了相同的基础设施。这使得微软的法律团队能够将两种恶意软件视为RICO下的单一共谋，并对据称涉及这两项行动的五名被告提起民事诉讼。法庭文件称：“被告构成了一个运营恶意软件即服务企业的网络犯罪集团，该企业利用通常被称为Amadey恶意软件套件和StealC恶意软件套件的恶意软件，通过这一MaaS企业，被告及其同伙已使数十万无辜计算机用户受害，其中包括许多微软软件和服务的用户。”