美国制裁云提供商“Funnull”,称其为“杀猪”诈骗的主要来源

Posted on 2025-05-30

图片:Shutterstock、ArtHead。

美国政府今日对菲律宾公司Funnull Technology Inc.实施经济制裁。该公司为数十万个涉及被称为“杀猪盘剥”的虚拟货币投资诈骗的网站提供计算机基础设施。2025 年 1 月,KrebsOnSecurity 披露了 Funnull 如何被用作内容交付网络,为试图通过美国云服务提供商路由流量的网络犯罪分子提供服务。

美国财政部一份声明中表示:“美国人每年因这些网络诈骗损失数十亿美元,这些犯罪活动产生的收入将在2024年达到创纪录的水平。” 该声明对Funnull及其40岁的中国管理人员刘立志实施了制裁。“Funnull直接协助了多起此类骗局,美国受害者报告的损失超过2亿美元。”

美国财政部表示,Funnull 的运营与大多数向联邦调查局举报的虚拟货币投资诈骗网站有关。该机构表示,Funnull 直接协助了生猪屠宰和其他诈骗活动,导致美国人损失超过 2 亿美元。

杀猪诈骗是一种猖獗的诈骗形式,人们被网上那些轻浮的陌生人引诱,投资虚假的加密货币交易平台。受害者被诱导在一个看似利润丰厚的交易平台上投入越来越多的资金,但当他们想要套现时,却发现资金已经不翼而飞。

骗子们经常坚持要求投资者在他们能够再次拿到他们投资的资金之前,对他们的加密“收益”缴纳额外的“税款”(剧透:他们从来不这样做),令人震惊的是,许多人因为这些杀猪骗局而损失了六位数甚至更多

KrebsOnSecurity一月份关于 Funnull 的报道基于安全公司Silent Push的研究,该公司在 2024 年 10 月发现,通过 Funnull 托管的大量域名都在推广带有太阳城集团标志的赌博网站。太阳城集团是2024 年联合国报告(PDF) 中点名的一家中国实体,该报告称其为朝鲜政府支持的黑客组织Lazarus洗钱数百万美元。

Silent Push 发现 Funnull 是一个犯罪内容分发网络 (CDN),承载着大量与诈骗网站相关的流量,并通过一系列令人眼花缭乱的自动生成域名和美国云服务提供商进行引导,最终重定向至恶意网站或网络钓鱼网站。FBI 发布了一份技术文档(PDF),其中包含 2023 年 10 月至 2025 年 4 月期间用于管理恶意 Funnull 域名的基础设施。

联邦调查局提供的一张图表解释了 Funnull 如何定期生成大量新域名并将其映射到美国云提供商的互联网地址。

Silent Push 于 2025 年 1 月重新审查了 Funnull 的基础设施,发现 Funnull 仍在使用其 10 月份报告中指出的许多恶意亚马逊微软云互联网地址。在 Funnull 事件曝光后,亚马逊和微软都承诺将清除其网络中的 Funnull 痕迹,但据 Silent Push 的Zach Edwards称,只有其中一家公司真正履行了承诺。

爱德华兹表示,Silent Push 不再看到微软互联网地址出现在 Funnull 的基础设施中,而亚马逊仍在努力移除 Funnull 服务器,其中一个服务器似乎在 2023 年首次出现。

爱德华兹说:“亚马逊做得非常糟糕——自从他们在公共博客上向您和我们提出这些声明以来,每天他们的 IP 仍然映射到 Funnull,其中一些 IP 还在莫名其妙的一段时间内处于映射状态。”

亚马逊表示,其亚马逊网络服务(AWS)托管平台积极打击滥用行为。

亚马逊在一份声明中写道:“我们今年已经阻止了数百起与该组织相关的攻击尝试,我们正在调查您今天早些时候分享的信息。如果有人怀疑 AWS 资源被用于滥用活动,可以使用此处的举报滥用表格向 AWS 信任与安全部门举报。”

美国的云提供商仍然是网络犯罪组织青睐的基地,因为许多组织不会过度积极地阻止来自美国云网络的流量,因为这样做可能会导致阻止访问位于同一共享网络段或主机上的许多合法网络目的地。

更重要的是,通过引导恶意流量,使其看起来像是来自美国云互联网提供商,网络犯罪分子可以从地理位置上更接近其目标和受害者的网址连接到网站(例如,绕过银行基于位置的安全控制)。

Funnull 并不是本月唯一一家受到制裁的网络犯罪基础设施即服务提供商:2025 年 5 月 20 日,欧盟Stark Industries Solutions实施了制裁,该互联网服务提供商在俄罗斯入侵乌克兰之初就已成立,并被用作全球代理网络,掩盖针对俄罗斯敌人的网络攻击和虚假宣传活动的真正来源。

2024年5月,KrebsOnSecurity发表了一篇关于Stark Industries Solutions的深度报道,发现流经Stark网络的大部分恶意流量(例如漏洞扫描和密码暴力破解攻击)都被美国云服务提供商反弹。我的报道揭示了Stark对美国互联网服务提供商的渗透程度,以及Ivan Neculiti多年来销售“防弹”托管服务的情况,这些服务告诉俄罗斯网络犯罪论坛的用户,他们会自豪地忽略任何滥用投诉或警方调查。

Stark Industries Solutions 的主页。

这篇报道探讨了斯塔克联合创始人——摩尔多瓦兄弟伊万·内库利蒂尤里·内库利蒂——的过去。他们均否认过去参与过网络犯罪,也否认目前参与协助俄罗斯进行虚假信息传播或网络攻击。然而,欧盟也对这两兄弟进行了制裁。

欧盟表示,斯塔克和内库尔蒂兄弟“通过提供服务来向欧洲执法和安全机构隐瞒这些活动,从而使俄罗斯政府支持和附属于政府的各种行为者能够针对欧盟和第三国开展破坏稳定的活动,包括协调信息操纵和干扰以及网络攻击”。

原文: https://krebsonsecurity.com/2025/05/u-s-sanctions-cloud-provider-funnull-as-top-source-of-pig-butchering-scams/