Phishingový útok Luna Moth

Americký Federální úřad pro vyšetřování (FBI) vydal varování před útoky sociálního inženýrství, které provádí skupina s názvem Luna Moth. Tato vyděračská skupina se v posledních dvou letech zaměřuje na advokátní kanceláře a používá kombinaci phishingových e-mailů a sociálního inženýrství přes telefon k odcizení citlivých údajů a požadování platby.

Jak fungují: Příručka pro phishing s zpětným voláním

Luna Moth, známá také jako Chatty Spider, Silent Ransom Group (SRG), Storm-0252 a UNC3753, je aktivní nejméně od roku 2022. Primárně se spoléhá na taktiku zvanou callback phishing neboli telefonicky orientovaný útok s doručováním (TOAD). Její phishingové e-maily, které vypadají neškodně a točí se kolem faktur a předplatného, lstí přimějí příjemce, aby zavolali na telefonní číslo a „zrušili“ platbu nebo předplatné.

Během těchto hovorů útočníci navedou oběť k instalaci programu pro vzdálený přístup, čímž získají neoprávněný přístup k jejím systémům. Díky kontrole nad těmito zařízeními útočníci shromažďují citlivé informace a následně požadují vydírání, aby zabránili úniku dat nebo prodeji jiným kyberzločincům.

Od BazarCallu k imitaci IT

Jedná se o stejnou skupinu, která stála za předchozími kampaněmi BazarCall , jež šířily ransomware, jako je Cont i. Od ukončení činnosti společnosti Conti Luna Moth zintenzivnila své úsilí. Je pozoruhodné, že od března 2025 vyvinula svou strategii tak, že přímo volá cílovým osobám a vydává se za zaměstnance IT oddělení. Tento přístup manipuluje se zaměstnanci, aby se připojili k relaci vzdáleného přístupu, často pod záminkou provádění noční údržby.

Nástroje pro řemeslo: Splynutí s legitimním softwarem

Jakmile je přístup udělen, Luna Moth zvyšuje oprávnění a používá legitimní nástroje k odcizení dat:

• Klonování
• WinSCP
• Asistent Zoho
• Syncro
• AnyDesk
• Splashtop
• Atera

Protože se jedná o skutečné nástroje pro správu systému a vzdálený přístup, často se vyhýbají detekci bezpečnostními nástroji. Pokud napadené zařízení nemá administrátorská oprávnění, použije se WinSCP portable k úniku ukradených dat. Přestože se jedná o nedávnou taktiku, ukázala se jako pozoruhodně účinná a vedla k mnoha úspěšným kompromitacím.

Známky potíží: Indikátory útoku lunární můry

Pracovníci kybernetické bezpečnosti by si měli dávat pozor na určité varovné signály:

• Neočekávané e-maily nebo hlasové zprávy od nejmenované skupiny, která tvrdí, že došlo ke krádeži dat.
• E-maily týkající se obnovení předplatného, u kterých je nutné zavolat, aby se předešlo poplatkům.
• Nevyžádané telefonáty od údajných IT pracovníků, kteří naléhají na vzdálený přístup k vašemu zařízení.
• Podezřelá připojení k externím IP adresám navázaná přes WinSCP nebo Rclone.

Útoky s vysokým tempem a falšování helpdesku

Výzkum ukazuje, že „rychlé“ phishingové kampaně s callbackem od Luny Moth se zaměřují na právní a finanční sektor USA. Využívají platformy jako Reamaze Helpdesk a další software pro vzdálenou plochu. Jen v březnu 2025 Luna Moth zaregistrovala prostřednictvím GoDaddy nejméně 37 domén. Většina těchto domén falšuje IT helpdesky a portály podpory cílových organizací.

Tyto domény s tématikou helpdesku obvykle začínají názvem cílové firmy. Útočníci se spoléhají na malý počet registrátorů a poskytovatelů nameserverů, přičemž domaincontrol.com je nejběžnější.

Zůstaňte ostražití!

Kampaně Luny Moth zdůrazňují kritickou potřebu ostražitosti. Kombinací základních nástrojů se sociálním inženýrstvím a falšováním domén obcházejí mnoho obranných mechanismů a ohrožují citlivá data. Rozpoznání jejich taktik je prvním krokem k udržení ochrany.