微软周三宣布捣毁 Storm-1152，这是一个网络犯罪即服务 (CaaS) 生态系统，该生态系统创建了 7.5 亿个欺诈性 Microsoft 帐户，以支持网络钓鱼、身份盗窃和其他计划。

据信，CaaS 通过为其他网络犯罪团体创建欺诈账户用于网络钓鱼、垃圾邮件、勒索软件、分布式拒绝服务 (DDoS) 和其他类型的攻击，赚取了数百万美元的非法收入。

“Storm-1152 运行非法网站和社交媒体页面，销售欺诈性 Microsoft 帐户和工具，以绕过知名技术平台上的身份验证软件。这些服务减少了犯罪分子在网上进行一系列犯罪和虐待行为所需的时间和精力。”微软指出。

Storm-1152 的客户之一是 Octo Tempest，也称为 Scattered Spider、0ktapus 和 UNC3944，它们使用了欺诈性的旨在进行财务勒索的社会工程攻击中的账户。 Storm-0252、Storm-0455 和其他勒索软件或勒索组织也从 CaaS 购买了帐户。

在机器人管理和帐户安全公司 Arkose Labs（自 2021 年 8 月以来一直在跟踪 Storm-1152）的帮助下，微软收集了有关 CaaS 及其活动和基础设施的情报，然后利用这些情报获得了法院命令，以查封该网络犯罪团伙的美国网站。为基础的基础设施。

法院命令于 12 月 7 日发布，允许 Microsoft 接管 Hotmailbox[.]me、1stCAPTCHA、AnyCAPTCHA 和 NoneCAPTCHA 等域名，以及 CaaS 一直用来推广非法服务的社交媒体帐户。

此外，微软还透露了据信正在操作 Storm-1152 的三名个人的身份，他们分别是 Duong Dinh Tu、Linh Van Nguyễn（又名 Nguyễn Van Linh）和 Tai Van Nguyen，他们都居住在越南。

“我们的调查结果显示，这些人运营并编写了非法网站的代码，通过视频教程发布了如何使用其产品的详细分步说明，并提供聊天服务来帮助那些使用其欺诈服务的人， ”微软解释。

Storm-1152 的活动首先引起了 Arkose Labs 的注意，该实验室开始调查该组织并向微软报告了调查结果。两家公司共同开始收集与威胁行为者相关的策略、技术和程序 (TTP)，以识别其基础设施。

据 Arkose Labs 称，Storm-1152 已被观察到正在改变其业务模式，以规避针对其部署的保护措施，包括在验证码解算器服务之间进行切换。

“微软代表数百万可能成为攻击目标并受到伤害的客户对这些个人提起诉讼。 Arkose Labs 正在通过我们的攻击详细证据来支持 Microsoft。”Arkose Labs 说明。