Фишинг атака с Luna Moth

Федералното бюро за разследване (ФБР) на САЩ издаде предупреждение за атаки чрез социално инженерство, предприети от група, наречена Luna Moth. Този престъпен изнудвач е атакувал адвокатски кантори през последните две години, използвайки комбинация от фишинг имейли и социално инженерство, базирано на телефонни разговори, за да краде чувствителни данни и да изисква плащане.

Как работят: Наръчник за фишинг с обратни повиквания

Luna Moth, известна още като Chatty Spider, Silent Ransom Group (SRG), Storm-0252 и UNC3753, е активна поне от 2022 г. Тя разчита предимно на тактика, наречена фишинг с обратно повикване или телефонно-ориентирана атака (TOAD). Нейните фишинг имейли, които изглеждат безобидни и се въртят около фактури и абонаменти, подвеждат получателите да се обадят на телефонен номер, за да „анулират“ плащане или абонамент.

По време на тези обаждания, нападателите насочват жертвата да инсталира програма за отдалечен достъп, получавайки неоторизиран достъп до техните системи. С контрол над тези устройства, злонамерените лица събират чувствителна информация и последват с искания за изнудване, за да предотвратят изтичането на данните или продажбата им на други киберпрестъпници.

От BazarCall до ИТ имперсонация

Това е същият екип, стоящ зад предишни кампании на BazarCall , които разпространяваха рансъмуер като Cont i. След затварянето на Conti, Luna Moth засили усилията си. Забележително е, че от март 2025 г. те са развили стратегията си, като се обаждат директно на целеви лица, представяйки се за служители на ИТ отдела. Този подход манипулира служителите да се присъединят към сесия за отдалечен достъп, често под претекст, че извършват нощна поддръжка.

Инструменти на занаята: Сливане с легитимен софтуер

След като достъпът е предоставен, Luna Moth повишава привилегиите и използва легитимни инструменти за извличане на данни:

• Клониране
• WinSCP
• Zoho Assist
• Синкро
• AnyDesk
• Splashtop
• Атера

Тъй като това са истински инструменти за управление на системата и отдалечен достъп, те често се изплъзват от откриването от инструментите за сигурност. Ако компрометираното устройство няма администраторски права, WinSCP portable се използва за измъкване на откраднатите данни. Въпреки че е скорошна тактика, тя се е доказала като изключително ефективна, което води до множество успешни компромети.

Признаци на проблеми: Индикатори за атака на лунна молец

Операторите по киберсигурност трябва да следят за определени предупредителни знаци:

• Неочаквани имейли или гласови съобщения от неназована група, която твърди за кражба на данни.
• Имейли относно подновяване на абонамент, които изискват телефонно обаждане, за да се избегнат такси.
• Нежелани телефонни обаждания от предполагаеми ИТ служители, настояващи за отдалечен достъп до вашето устройство.
• Подозрителни връзки, осъществени чрез WinSCP или Rclone към външни IP адреси.

Високотемпови атаки и подправяне на Helpdesk

Проучванията показват, че „високотемповите“ фишинг кампании за обратно извикване на Luna Moth са фокусирани върху правния и финансовия сектор на САЩ. Те използват платформи като Reamaze Helpdesk и друг софтуер за отдалечен работен плот. Само през март 2025 г. Luna Moth е регистрирала поне 37 домейна чрез GoDaddy. Повечето от тези домейни са фалшиви ИТ бюра за помощ и портали за поддръжка на целевите организации.

Тези домейни с тематика за помощ обикновено започват с името на целевия бизнес. Нападателите разчитат на малък брой регистратори и доставчици на неймсървъри, като domaincontrol.com е най-често срещаният.

Бъдете нащрек!

Кампаниите на Luna Moth подчертават критичната необходимост от бдителност. Чрез комбиниране на фундаментални инструменти със социално инженерство и подправяне на домейни, те заобикалят много защити и излагат на риск чувствителни данни. Разпознаването на техните тактики е първата стъпка към запазването на защитата.