Luna Moth Phishing-angreb
Det amerikanske efterforskningsbureau (FBI) har udsendt en advarsel om social engineering-angreb lanceret af en gruppe kaldet Luna Moth. Denne kriminelle afpresningsaktør har i de sidste to år målrettet advokatfirmaer ved hjælp af en blanding af phishing-e-mails og telefonbaseret social engineering til at stjæle følsomme data og kræve betaling.
Indholdsfortegnelse
Sådan fungerer de: Håndbogen for tilbagekaldsphishing
Luna Moth, også kendt som Chatty Spider, Silent Ransom Group (SRG), Storm-0252 og UNC3753, har været aktiv siden mindst 2022. Den bruger primært en taktik kaldet callback phishing eller telefonorienteret angrebslevering (TOAD). Dens phishing-e-mails, der ser harmløse ud og drejer sig om fakturaer og abonnementer, narrer modtagere til at ringe til et telefonnummer for at "annullere" en betaling eller et abonnement.
Under disse opkald guider angriberne offeret til at installere et fjernadgangsprogram, hvilket giver uautoriseret adgang til deres systemer. Med kontrol over disse enheder indsamler trusselsaktørerne følsomme oplysninger og følger op med afpresningskrav for at forhindre, at dataene lækkes eller sælges til andre cyberkriminelle.
Fra BazarCall til IT-efterligning
Det er den samme gruppe, der står bag tidligere BazarCall -kampagner, der har spredt ransomware som Cont i. Siden Contis nedlukning har Luna Moth intensiveret deres indsats. Især har de fra marts 2025 udviklet deres strategi ved at ringe direkte til målrettede personer og udgive sig for at være IT-afdelingens medarbejdere. Denne tilgang manipulerer medarbejdere til at deltage i en fjernadgangssession, ofte under dække af at udføre vedligeholdelse natten over.
Værktøjer i branchen: Blander sig med legitim software
Når adgang er givet, eskalerer Luna Moth privilegier og bruger legitime værktøjer til at stjæle data:
- Rclone
- WinSCP
- Zoho Assist
- Synkronisering
- AnyDesk
- Stænkplade
- Atera
Fordi disse er ægte systemadministrations- og fjernadgangsværktøjer, undgår de ofte at blive opdaget af sikkerhedsværktøjer. Hvis den kompromitterede enhed mangler administratorrettigheder, bruges WinSCP portable til at snige de stjålne data ud. Selvom det er en nyere taktik, har den vist sig bemærkelsesværdigt effektiv og har ført til flere succesfulde kompromitteringer.
Tegn på problemer: Indikatorer for et Luna Moth-angreb
Cybersikkerhedsmedarbejdere bør være opmærksomme på visse røde flag:
- Uventede e-mails eller telefonsvarerbeskeder fra en unavngiven gruppe, der hævder datatyveri.
- E-mails vedrørende abonnementsfornyelser, der kræver et telefonopkald for at undgå gebyrer.
- Uopfordrede telefonopkald fra formodede IT-medarbejdere, der opfordrer til fjernadgang til din enhed.
- Mistænkelige forbindelser foretaget via WinSCP eller Rclone til eksterne IP-adresser.
Højtempoangreb og helpdesk-spoofing
Forskning viser, at Luna Moths "hurtige" callback phishing-kampagner fokuserer på den juridiske og finansielle sektor i USA. De bruger platforme som Reamaze Helpdesk og anden fjernskrivebordssoftware. Alene i marts 2025 registrerede Luna Moth mindst 37 domæner via GoDaddy. De fleste af disse domæner forfalsker målrettede organisationers IT-helpdesks og supportportaler.
Disse helpdesk-tema domæner starter typisk med navnet på den målrettede virksomhed. Angriberne er afhængige af et lille antal registratorer og navneserverudbydere, hvor domaincontrol.com er den mest almindelige.
Vær opmærksom!
Luna Moths kampagner fremhæver det kritiske behov for årvågenhed. Ved at kombinere grundlæggende værktøjer med social engineering og domæneforfalskning omgår de mange forsvarsmekanismer og sætter følsomme data i fare. At anerkende deres taktikker er det første skridt i at forblive beskyttet.
