微軟近日宣布成功瓦解名為
RedVDS 的網路犯罪即服務(Cybercrime-as-a-Service)平台。該平台自 2019 年開始運作,光是在美國就造成超過 4,000 萬美元的詐騙損失。
低成本犯罪工具助長大規模攻擊
RedVDS 以每月僅 24 美元的訂閱費用,為網路犯罪者提供一次性虛擬電腦服務。這些虛擬主機執行未經授權的 Windows 作業系統,讓犯罪者能快速、匿名地跨境執行攻擊。微軟助理法務長 Steven Masada 指出,這種服務使詐騙行為變得廉價、可擴展且難以追蹤。
根據微軟觀察,
單月內就有超過 2,600 台 RedVDS 虛擬主機,每天向微軟客戶發送平均 100 萬封網路釣魚郵件。自去年 9 月以來,透過 RedVDS 發動的攻擊已入侵全球超過 13 萬個組織的 19.1 萬個微軟電子郵件帳號。
商業電郵詐騙成主要攻擊手法
RedVDS 最常被用於商業電郵詐騙,攻擊者會先取得電子郵件帳號的未授權存取權限,悄悄監控進行中的對話,等待適當時機介入。當偵測到即將進行付款或電匯交易時,攻擊者會假冒可信任的交易方,將資金轉向錯誤的帳戶。整個過程往往在數秒內完成。
阿拉巴馬州製藥公司 H2 Pharma 在此類攻擊中損失超過 730 萬美元,佛羅里達州的 Gatehouse Dock 公寓管理協會也被騙走近 50 萬美元。這兩個組織現已成為此次民事訴訟的共同原告。
房地產產業也成為重災區。微軟觀察到 RedVDS 相關活動影響了超過 9,000 名房地產業客戶。攻擊者入侵房地產經紀人、代管代理人或產權公司的帳號後,會在交易關鍵時刻發送要求變更付款帳戶的郵件,詐騙購屋者的訂金或成交費用。對首次購屋者而言,單次詐騙可能耗盡畢生積蓄,或讓購屋計畫破局。
跨國聯合行動成功癱瘓平台
微軟與歐洲刑警組織(Europol)及德國執法機構合作,在美國和英國提起訴訟。行動中成功查封了託管 RedVDS 市場和客戶入口網站的兩個網域。德國州刑警也查扣了支援該平台運作的伺服器,讓市場下線。
訴訟文件指出,RedVDS 的營運者和使用者使用盜版的微軟 Windows Server 軟體。微軟已採取措施追蹤幕後操作者的身分,但目前尚未公開嫌疑人姓名。
技術分析揭露完整攻擊鏈
RedVDS 本身並不擁有實體資料中心,而是向美國、加拿大、英國、法國和荷蘭的第三方託管服務商租用伺服器。這種做法讓犯罪者能從接近目標的 IP 位址發動攻擊,成功繞過基於地理位置的安全過濾機制。
平台提供具有完整管理員權限且無使用限制的 Windows 遠端桌面協定(RDP)伺服器。微軟追蹤發現,數千組被竊取的憑證、從目標組織竊取的發票、大量郵件發送工具及釣魚工具包,都源自這個平台。
攻擊者使用多種工具驗證大量電子郵件地址、整理郵件清單,並透過 RedVDS 執行個體發送大量郵件。他們也會使用注重隱私的網路瀏覽器和 VPN 隱藏身分。微軟甚至觀察到部分使用者部署 ChatGPT 和其他 OpenAI 工具撰寫具說服力的英文郵件。
在 30 天的觀察期間,微軟發現超過 7,300 個與 RedVDS 基礎設施相關的 IP 位址,共同託管了超過 3,700 個仿冒合法平台的網域。當受害者在這些網站輸入憑證後,RedVDS 會協助擷取權杖 Cookie,讓犯罪者繞過多因素驗證。
生成式AI強化詐騙技術
RedVDS 經常與生成式 AI 工具搭配使用,協助識別潛在目標並產生逼真的誘餌內容。微軟在數百起案例中觀察到,攻擊者進一步運用換臉、影片操控和語音複製等 AI 技術冒充特定人士,欺騙受害者。
其他與 RedVDS 連結的平台還能產生 PDF 或 HTML 誘餌附件、自動化郵件發送流程,並建立仿冒合法網站的釣魚網域。
防護建議與行動意義
微軟建議組織採取以下防護措施來抵禦釣魚攻擊:
- 放慢處理速度,質疑電子郵件中的緊急要求
- 透過已知電話號碼聯繫相關人員,確認訊息真實性
- 驗證付款請求的真實性
- 啟用多因素驗證
- 保持軟體更新
這是微軟為打擊網路犯罪基礎設施所採取的第 35 次民事行動。2025 年秋季,
微軟曾關閉類似服務 RaccoonO365,該平台同樣用於竊取使用者憑證,至少一名奈及利亞男子因經營該平台遭到逮捕。值得注意的是,許多使用 RaccoonO365 的犯罪者同時也使用 RedVDS。
本文轉載自 DarkReading、TheRecord。