微軟利用AI在敲詐勒索訴訟中關聯兩個惡意軟件操作

微軟及其合作伙伴聯合國際執法機構，在AI技術的輔助下，成功破壞了兩款廣泛使用的惡意軟件及其基礎設施。這一行動標誌着網絡安全打擊策略的轉變，從針對單一工具轉向打擊網絡攻擊供應鏈。

微軟數字犯罪部門助理總法律顧問Steven Masada在博客中表示，此次行動的新穎之處在於將AI分析與法律手段的擴展應用相結合，特別是利用了美國《反敲詐勒索及腐敗組織法》(RICO)。以往微軟主要利用RICO等法律針對單一網絡犯罪服務或基礎設施採取行動。

此次破壞行動涉及封禁、暫停和阻止了超過200個域名和命令與控制(C2)服務器，這些服務器構成了StealC和Amadey惡意軟件基礎設施的核心。多家安全公司，包括ESET、BitSight、三井物產安全指導(MBSD)、IBM X-Force和Proofpoint，也參與了瓦解這些涉嫌犯罪活動的行動。

結合上週宣佈的針對SocGholish的破壞行動，由歐洲刑警組織領導的執法聯盟標記並限制了價值超過4700萬美元的加密貨幣資產，並追回了約2700萬個被盜憑證。

StealC和Amadey是由不同犯罪團伙開發的兩個獨立惡意軟件，但它們使用相同的基礎設施並協同運作。StealC收集多種瀏覽器憑證和Cookie、加密貨幣錢包、來自消息應用的聊天記錄以及其他敏感數據，並將竊取的數據外泄到C2服務器。它還充當輔助加載器，允許租用該竊取器的犯罪分子在受感染設備上下載其他惡意軟件。Amadey是一種惡意軟件即服務，用於分發StealC及其他竊取器，以及遠程訪問木馬、加密貨幣挖礦機和勒索軟件等其他惡意軟件。僅在5月的前兩週，Amadey和StealC就與全球超過14萬台受感染計算機相關。

Masada表示：“僅僅逐個打擊威脅已經不夠，我們需要阻斷攻擊的組裝方式。”在此案中，微軟的調查人員使用Copilot和其他AI工具分析兩種惡意軟件及其基礎設施，“用自然語言提問，而不是手動梳理複雜代碼”，這幫助在更短的時間內發現關鍵細節、隱藏數據並測試結果，將原本需要數小時或數天的工作縮短到幾分鐘，使團隊能夠更快地發現關聯。其中一個關鍵細節是：Amadey和StealC使用了相同的基礎設施。這使得微軟的法律團隊能夠將兩種惡意軟件視為RICO下的單一共謀，並對據稱涉及這兩項行動的五名被告提起民事訴訟。法庭文件稱：“被告構成了一個運營惡意軟件即服務企業的網絡犯罪集團，該企業利用通常被稱為Amadey惡意軟件套件和StealC惡意軟件套件的惡意軟件，通過這一MaaS企業，被告及其同夥已使數十萬無辜計算機用户受害，其中包括許多微軟軟件和服務的用户。”