Luna Moth Phishing Attack

اداره تحقیقات فدرال ایالات متحده (FBI) در مورد حملات مهندسی اجتماعی که توسط گروهی به نام لونا موث آغاز شده است، هشدار داده است. این عامل اخاذی جنایی طی دو سال گذشته با استفاده از ترکیبی از ایمیل‌های فیشینگ و مهندسی اجتماعی مبتنی بر تلفن، شرکت‌های حقوقی را هدف قرار داده است تا داده‌های حساس را سرقت کرده و درخواست پرداخت کند.

نحوه عملکرد آنها: راهنمای فیشینگ تماس تلفنی

لونا ماث، که با نام‌های چتی اسپایدر، گروه باج‌خواهی خاموش (SRG)، استورم-۰۲۵۲ و UNC۳۷۵۳ نیز شناخته می‌شود، حداقل از سال ۲۰۲۲ فعال بوده است. این گروه عمدتاً به تاکتیکی به نام فیشینگ تماس برگشتی یا تحویل حمله تلفنی (TOAD) متکی است. ایمیل‌های فیشینگ آن که بی‌ضرر به نظر می‌رسند و حول فاکتورها و اشتراک‌ها می‌چرخند، گیرندگان را فریب می‌دهند تا با شماره تلفن تماس بگیرند تا پرداخت یا اشتراک را «لغو» کنند.

در طول این تماس‌ها، مهاجمان قربانی را برای نصب یک برنامه دسترسی از راه دور راهنمایی می‌کنند و به این ترتیب به سیستم‌های او دسترسی غیرمجاز پیدا می‌کنند. با کنترل این دستگاه‌ها، عوامل تهدید اطلاعات حساس را جمع‌آوری کرده و درخواست‌های اخاذی را برای جلوگیری از نشت یا فروش داده‌ها به سایر مجرمان سایبری دنبال می‌کنند.

از BazarCall تا جعل هویت در حوزه فناوری اطلاعات

این همان گروهی است که در پشت کمپین‌های قبلی BazarCall قرار داشت که باج‌افزارهایی مانند Cont i را منتشر می‌کردند. از زمان تعطیلی Conti، Luna Moth تلاش‌های خود را تشدید کرده است. نکته قابل توجه این است که از مارس 2025، آنها استراتژی خود را با تماس مستقیم با افراد هدف و جا زدن خود به عنوان کارمندان بخش فناوری اطلاعات، تکامل داده‌اند. این رویکرد، کارمندان را برای پیوستن به یک جلسه دسترسی از راه دور، اغلب تحت پوشش انجام تعمیرات شبانه، فریب می‌دهد.

ابزار تجارت: ادغام با نرم‌افزارهای قانونی

پس از اعطای دسترسی، Luna Moth امتیازات را افزایش می‌دهد و از ابزارهای قانونی برای استخراج داده‌ها استفاده می‌کند:

• آرکلون
• وین‌اس‌سی‌پی
• دستیار زوهو
• سینکرو
• انی دسک
• اسپلش‌تاپ
• آترا

از آنجا که این ابزارها، ابزارهای اصلی مدیریت سیستم و دسترسی از راه دور هستند، اغلب توسط ابزارهای امنیتی شناسایی نمی‌شوند. اگر دستگاه مورد نفوذ فاقد امتیازات ادمین باشد، از WinSCP Portable برای سرقت مخفیانه داده‌های سرقت شده استفاده می‌شود. با وجود اینکه این یک تاکتیک جدید است، اما به طرز چشمگیری مؤثر بوده و منجر به چندین نفوذ موفق شده است.

علائم مشکل: شاخص‌های حمله پروانه لونا

فعالان امنیت سایبری باید مراقب برخی از نشانه‌های خطر باشند:

• ایمیل‌ها یا پیام‌های صوتی غیرمنتظره از یک گروه ناشناس که ادعای سرقت اطلاعات دارند.
• ایمیل‌هایی در مورد تمدید اشتراک که برای جلوگیری از هزینه، نیاز به تماس تلفنی دارند.
• تماس‌های تلفنی ناخواسته از طرف کارکنان فناوری اطلاعات که اصرار به دسترسی از راه دور به دستگاه شما دارند.
• اتصالات مشکوکی که از طریق WinSCP یا Rclone به آدرس‌های IP خارجی برقرار شده‌اند.

حملات با سرعت بالا و کلاهبرداری از میز خدمت

تحقیقات نشان می‌دهد که کمپین‌های فیشینگ «پرسرعت» لونا ماث بر بخش‌های حقوقی و مالی ایالات متحده تمرکز دارند. آن‌ها از پلتفرم‌هایی مانند Reamaze Helpdesk و سایر نرم‌افزارهای ریموت دسکتاپ استفاده می‌کنند. تنها در مارس ۲۰۲۵، لونا ماث حداقل ۳۷ دامنه را از طریق GoDaddy ثبت کرده است. اکثر این دامنه‌ها، میزهای کمک فناوری اطلاعات و پورتال‌های پشتیبانی سازمان‌های هدف را جعل می‌کنند.

این دامنه‌های با تم میز کمک معمولاً با نام کسب‌وکار مورد هدف شروع می‌شوند. مهاجمان به تعداد کمی از ثبت‌کنندگان و ارائه‌دهندگان نام سرور متکی هستند که domaincontrol.com رایج‌ترین آنهاست.

هوشیار باشید!

کمپین‌های لونا موث، نیاز مبرم به هوشیاری را برجسته می‌کنند. آن‌ها با ترکیب ابزارهای اساسی با مهندسی اجتماعی و جعل دامنه، بسیاری از سدهای دفاعی را دور می‌زنند و داده‌های حساس را در معرض خطر قرار می‌دهند. شناخت تاکتیک‌های آن‌ها اولین قدم برای محافظت شدن است.