هجوم التصيد الاحتيالي Luna Moth

أصدر مكتب التحقيقات الفيدرالي الأمريكي (FBI) تحذيرًا بشأن هجمات الهندسة الاجتماعية التي شنتها جماعة تُدعى "لونا موث". وقد استهدفت هذه الجماعة الإجرامية، التي تُمارس الابتزاز، مكاتب المحاماة على مدار العامين الماضيين، مستخدمةً مزيجًا من رسائل التصيد الاحتيالي عبر البريد الإلكتروني والهندسة الاجتماعية عبر الهاتف لسرقة بيانات حساسة والمطالبة بدفع مبالغ مالية.

كيفية عملها: دليل التصيد الاحتيالي عبر الاتصال الهاتفي

لونا موث، المعروفة أيضًا باسم العنكبوت الثرثار، ومجموعة الفدية الصامتة (SRG)، وستورم-0252، وUNC3753، نشطة منذ عام 2022 على الأقل. تعتمد بشكل أساسي على تكتيك يُسمى التصيد الاحتيالي عبر معاودة الاتصال أو إيصال الهجوم عبر الهاتف (TOAD). رسائل التصيد الاحتيالي، التي تبدو بريئة وتتمحور حول الفواتير والاشتراكات، تخدع المستلمين للاتصال برقم هاتف لإلغاء دفعة أو اشتراك.

خلال هذه المكالمات، يُوجِّه المهاجمون الضحية لتثبيت برنامج وصول عن بُعد، ما يُتيح لهم الوصول غير المصرح به إلى أنظمتهم. وبسيطرتهم على هذه الأجهزة، يجمع المهاجمون معلومات حساسة، ثم يُنفِّذون عمليات ابتزاز لمنع تسريب البيانات أو بيعها لمجرمي إنترنت آخرين.

من BazarCall إلى انتحال شخصية تكنولوجيا المعلومات

هذا هو نفس الفريق الذي يقف وراء حملات BazarCall السابقة التي نشرت برامج الفدية مثل Cont i. منذ إغلاق Conti، كثّفت Luna Moth جهودها. والجدير بالذكر أنه اعتبارًا من مارس 2025، طوّروا استراتيجيتهم بالاتصال بالأفراد المستهدفين مباشرةً، منتحلين صفة موظفي قسم تكنولوجيا المعلومات. هذا النهج يتلاعب بالموظفين ويدفعهم للانضمام إلى جلسة وصول عن بُعد، غالبًا تحت ستار إجراء صيانة ليلية.

أدوات التجارة: الاندماج مع البرامج المشروعة

بمجرد منح حق الوصول، تقوم Luna Moth بتصعيد الامتيازات وتستخدم أدوات مشروعة لاستخراج البيانات:

• استنساخ
• برنامج WinSCP
• مساعدة زوهو
• سينكرو
• أي مكتب
• سبلاش توب
• أتيرا

لأن هذه الأدوات حقيقية لإدارة النظام والوصول عن بُعد، فإنها غالبًا ما تتجنب اكتشافها بواسطة أدوات الأمان. إذا كان الجهاز المُخترق يفتقر إلى صلاحيات المسؤول، يُستخدم برنامج WinSCP المحمول لتهريب البيانات المسروقة. ورغم كونه تكتيكًا حديثًا، إلا أنه أثبت فعاليته بشكل ملحوظ، مما أدى إلى العديد من عمليات الاختراق الناجحة.

علامات المشكلة: مؤشرات هجوم عثة القمر

يجب على العاملين في مجال الأمن السيبراني الانتباه إلى بعض العلامات الحمراء:

• رسائل بريد إلكتروني أو رسائل صوتية غير متوقعة من مجموعة مجهولة تدعي سرقة البيانات.
• رسائل البريد الإلكتروني المتعلقة بتجديد الاشتراك والتي تتطلب إجراء مكالمة هاتفية لتجنب الرسوم.
• مكالمات هاتفية غير مرغوب فيها من موظفي تكنولوجيا المعلومات المفترضين الذين يحثون على الوصول عن بعد إلى جهازك.
• اتصالات مشبوهة تم إجراؤها عبر WinSCP أو Rclone إلى عناوين IP خارجية.

الهجمات عالية الوتيرة وانتحال هوية مركز المساعدة

تُظهر الأبحاث أن حملات التصيد الاحتيالي "السريعة" التي تُنفذها شركة Luna Moth عبر معاودة الاتصال تُركز على القطاعين القانوني والمالي في الولايات المتحدة. وتستخدم الشركة منصات مثل Reamaze Helpdesk وغيرها من برامج سطح المكتب البعيد. في مارس 2025 وحده، سجلت Luna Moth ما لا يقل عن 37 نطاقًا عبر GoDaddy. معظم هذه النطاقات تُزيّف مراكز مساعدة تكنولوجيا المعلومات وبوابات الدعم للمؤسسات المستهدفة.

عادةً ما تبدأ هذه النطاقات ذات طابع خدمة الدعم الفني باسم الشركة المستهدفة. يعتمد المهاجمون على عدد محدود من مسجلي النطاقات وموفري خوادم الأسماء، ويُعدّ domaincontrol.com الأكثر شيوعًا.

ابقى متيقظًا!

تُسلّط حملات لونا موث الضوء على الحاجة المُلِحّة لليقظة. فمن خلال دمج الأدوات الأساسية مع الهندسة الاجتماعية وانتحال النطاقات، تتجاوز هذه الحملات العديد من الدفاعات وتُعرّض البيانات الحساسة للخطر. إنّ إدراك أساليبهم هو الخطوة الأولى نحو الحماية.