美國司法部(DOJ)日前正式宣布,透過兩張獲得法院核准的搜查令,成功查封五個與知名竊資惡意軟體 LummaC2 有關的網域,此行動由 FBI 聯同微軟、及多個政府機構與民間單位協力完成。
這起跨國打擊行動對全球資訊竊取活動造成重大衝擊,也再次凸顯「惡意軟體即服務(Malware-as-a-Service, MaaS)」模式所帶來的資安風險正持續升高。
LummaC2 是什麼?為何它備受關注?
LummaC2 是一種資訊竊取型惡意軟體(Infostealer),近年來於地下網路世界中聲名大噪,成為黑市中最受歡迎的竊資工具之一。此類惡意軟體可在感染裝置後竊取以下資訊:
- 瀏覽器自動填寫資料與歷史紀錄
- 電子郵件與網銀帳號密碼
- 加密貨幣錢包助記詞(seed phrases)
- 各類個人敏感資料與認證憑證
這些被竊資訊,最終可能被用於盜領銀行帳戶、身份冒用、或發動進一步針對企業或個人的攻擊,例如 BEC 詐騙或資料勒索。
背後運作模式揭密
根據法院文件揭露,LummaC2 的操作者經營多組網域,這些網域主要作為用戶後台(user panels)使用,提供已購買或租用服務的駭客夥伴部署惡意軟體、遙控感染裝置、並回傳所竊資料。
FBI 調查發現,全球至少有 170 萬個裝置遭 LummaC2 感染並資料外洩,可見其規模之龐大與滲透範圍之廣。
FBI 行動時間軸總覽
- 2025 年 5 月 19 日:美國政府查封與 LummaC2 相關的兩個主要網域。
- 2025 年 5 月 20 日:LummaC2 管理員緊急發布三個替代網域,供用戶恢復操作。
- 2025 年 5 月 21 日:FBI 立即回應,再次查封上述三個新網域,徹底中斷服務。
目前這些網域已無法訪問,僅顯示 DOJ 與 FBI 的查封公告,意味著該服務暫時無法對外營運。
官方聲明重申威脅嚴峻
- DOJ 國安局長 Sue J. Bai 表示:「這次行動彰顯公私協力在網路威脅應對中的關鍵角色。」
- 刑事調查部門主管 Matthew R. Galeotti 指出:「LummaC2 竊取數百萬人個資,助長銀行詐騙與虛擬貨幣盜竊。」
- FBI 資安部門助理局長 Bryan Vorndran 強調:「這是目前地下市場中最廣泛使用的 infostealer 之一。」
除了查封行動,微軟也同步提起民事訴訟,額外關閉 2,300 個可能與 LummaC2 有關的網域,此舉反映科技業對抗資安威脅的決心與責任。
資安專家觀點:這場戰役只是開端
雖然這次成功癱瘓 LummaC2 的核心基礎設施,但我們作為資安專業人員必須正視一個現實:惡意軟體供應鏈具有高度替代性與彈性。只要需求仍存在,其他類似的 infostealer 工具勢必會繼續出現,甚至升級演化以規避偵測。
建議企業與個人應採取的防禦措施:
- 導入端點偵測與回應系統(EDR/XDR):強化對 infostealer 行為的即時攔截能力。
- 限制使用者權限:防止惡意軟體於感染後快速橫向移動。
- 加密憑證與資料儲存機制:避免明文存放登入資訊。
- 定期審查瀏覽器與密碼管理器中的自動填寫內容。
- 教育員工警覺釣魚郵件與社交工程攻擊。
結語:資訊戰不斷演進,防守思維不能停滯
LummaC2 案再次提醒我們:資安並非單一事件的應對,而是一場持續進行的長期戰爭。只有結合技術、流程與意識教育,並積極參與公私協作網絡,才能有效降低風險,保護我們的數位資產與未來。