Luna Moth andmepüügirünnak

USA Föderaalne Juurdlusbüroo (FBI) on hoiatanud sotsiaalse manipuleerimise rünnakute eest, mille algatas rühmitus nimega Luna Moth. See kriminaalne väljapressimisrühm on viimased kaks aastat sihikule võtnud advokaadibüroosid, kasutades õngitsuskirjade ja telefonikõnede kombinatsiooni, et varastada tundlikke andmeid ja nõuda tasu.

Kuidas nad tegutsevad: tagasihelistamise andmepüügi käsiraamat

Luna Moth, tuntud ka kui Chatty Spider, Silent Ransom Group (SRG), Storm-0252 ja UNC3753, on olnud aktiivne vähemalt alates 2022. aastast. See tugineb peamiselt taktikale, mida nimetatakse tagasihelistamise andmepüügiks või telefonipõhiseks rünnakute edastamiseks (TOAD). Nende andmepüügimeilid, mis näivad kahjutud ja keerlevad arvete ja tellimuste ümber, meelitavad saajaid helistama telefoninumbrile, et makse või tellimus "tühistada".

Nende kõnede ajal juhendavad ründajad ohvrit installima kaugjuurdepääsuprogrammi, mis annab talle loata juurdepääsu tema süsteemidele. Neid seadmeid kontrollides koguvad ründajad tundlikku teavet ja esitavad väljapressimisnõudeid, et vältida andmete lekkimist või müümist teistele küberkurjategijatele.

BazarCallist IT-i isikupärastamiseni

See on sama meeskond, kes oli varasemate BazarCalli kampaaniate taga, mis levitasid lunavara nagu Cont i. Pärast Conti sulgemist on Luna Moth oma jõupingutusi intensiivistanud. Märkimisväärne on see, et alates 2025. aasta märtsist on nad oma strateegiat täiustanud, helistades otse sihtrühmale, teeseldes end IT-osakonna töötajatena. See lähenemisviis manipuleerib töötajaid kaugjuurdepääsu seansiga liituma, sageli öise hoolduse tegemise varjus.

Ameti tööriistad: sulandumine legitiimse tarkvaraga

Kui juurdepääs on antud, laiendab Luna Moth õigusi ja kasutab andmete väljafiltreerimiseks legitiimseid tööriistu:

• Rkloon
• WinSCP
• Zoho abi
• Sünkroon
• AnyDesk
• Splashtop
• Atera

Kuna tegemist on ehtsate süsteemihalduse ja kaugjuurdepääsu tööriistadega, jäävad need turvatööriistade poolt sageli avastamata. Kui ohustatud seadmel puuduvad administraatoriõigused, kasutatakse varastatud andmete salajaseks väljatoomiseks WinSCP kaasaskantavat programmi. Vaatamata hiljutisele taktikale on see osutunud märkimisväärselt tõhusaks, viides mitmete edukate ohtudeni.

Probleemi märgid: Luna Moth Attacki näitajad

Küberturvalisuse töötajad peaksid jälgima teatud ohumärke:

• Ootamatud meilid või kõnepostid nimetult grupilt, kes väidavad andmete vargust.
• Tellimuste uuendamise kohta saadetud meilid, mille puhul on tasude vältimiseks vaja helistada.
• Soovimatud telefonikõned väidetavatelt IT-töötajatelt, kes nõuavad teie seadmele kaugjuurdepääsu.
• Kahtlased ühendused, mis on loodud WinSCP või Rclone'i kaudu välistele IP-aadressidele.

Kiired rünnakud ja tugiteenuse võltsimine

Uuringud näitavad, et Luna Mothi „kiire tempoga“ tagasihelistamise andmepüügikampaaniad keskenduvad USA õigus- ja finantssektorile. Nad kasutavad selliseid platvorme nagu Reamaze Helpdesk ja muud kaugtöölaua tarkvara. Ainuüksi 2025. aasta märtsis registreeris Luna Moth GoDaddy kaudu vähemalt 37 domeeni. Enamik neist domeenidest võltsivad ja sihivad organisatsioonide IT-abikeskusi ja tugiportaale.

Need abikeskuse-teemalised domeenid algavad tavaliselt sihtmärgiks oleva ettevõtte nimega. Ründajad tuginevad väikesele hulgale registripidajatele ja nimeserveri pakkujatele, millest kõige levinum on domaincontrol.com.

Jää valvsaks!

Luna Mothi kampaaniad rõhutavad valvsuse kriitilist vajadust. Kombineerides põhilisi tööriistu sotsiaalse manipuleerimise ja domeeninimede võltsimisega, mööduvad nad paljudest kaitsemehhanismidest ja seavad tundlikke andmeid ohtu. Nende taktikate äratundmine on esimene samm kaitstuse säilitamiseks.