Luna Moth -tietojenkalasteluhyökkäys

Yhdysvaltain liittovaltion tutkintavirasto FBI on antanut varoituksen Luna Moth -nimisen ryhmän tekemistä sosiaalisen manipuloinnin hyökkäyksistä. Tämä rikollinen kiristysryhmä on kohdistanut hyökkäyksiään asianajotoimistoihin kahden viime vuoden ajan käyttäen tietojenkalastelusähköpostien ja puhelinpohjaisen sosiaalisen manipuloinnin yhdistelmää varastaakseen arkaluonteisia tietoja ja vaatiakseen maksuja.

Toimintaperiaate: takaisinsoittojen tietojenkalasteluoperaation käsikirja

Luna Moth, joka tunnetaan myös nimillä Chatty Spider, Silent Ransom Group (SRG), Storm-0252 ja UNC3753, on ollut aktiivinen ainakin vuodesta 2022 lähtien. Se perustuu pääasiassa taktiikkaan nimeltä callback phishing tai telephone-oriented attack delivery (TOAD). Sen tietojenkalasteluviestit, jotka näyttävät harmittomilta ja liittyvät laskuihin ja tilauksiin, huijaavat vastaanottajia soittamaan puhelinnumeroon maksun tai tilauksen "peruuttamiseksi".

Näiden puheluiden aikana hyökkääjät opastavat uhria asentamaan etäkäyttöohjelman, jolloin he saavat luvattoman pääsyn järjestelmiinsä. Laitteiden hallinnan avulla hyökkääjät keräävät arkaluonteisia tietoja ja tekevät kiristysvaatimuksia estääkseen tietojen vuotamisen tai myynnin muille kyberrikollisille.

BazarCallista IT-henkilöllisyyden hyödyntämiseen

Tämä on sama miehistö aiempien BazarCall -kampanjoiden takana, jotka levittivät kiristyshaittaohjelmia, kuten Cont i:tä. Contin sulkemisen jälkeen Luna Moth on tehostanut toimiaan. Merkittävää on, että maaliskuusta 2025 lähtien he ovat kehittäneet strategiaansa soittamalla suoraan kohderyhmille tekeytyen IT-osaston työntekijöiksi. Tämä lähestymistapa manipuloi työntekijöitä liittymään etäkäyttöistuntoon, usein yön yli tapahtuvan huollon varjolla.

Ammattilaiset työkalut: Yhteensopivuus laillisen ohjelmiston kanssa

Kun käyttöoikeus on myönnetty, Luna Moth laajentaa käyttöoikeuksia ja käyttää laillisia työkaluja tietojen vuotamiseen:

• Rklooni
• WinSCP
• Zoho Assist
• Synkronoi
• AnyDesk
• Roiskesuoja
• Atera

Koska nämä ovat aitoja järjestelmänvalvojan ja etäkäyttötyökaluja, ne usein välttyvät tietoturvatyökalujen havaitsemilta. Jos vaarantuneella laitteella ei ole järjestelmänvalvojan oikeuksia, WinSCP portable -ohjelmaa käytetään varastettujen tietojen salakuljettamiseen. Vaikka se on uusi taktiikka, se on osoittautunut huomattavan tehokkaaksi ja johtanut useisiin onnistuneisiin tietomurtoihin.

Ongelman merkit: Luna Moth -hyökkäyksen indikaattorit

Kyberturvallisuustyöntekijöiden tulisi tarkkailla tiettyjä varoitusmerkkejä:

• Odottamattomia sähköposteja tai vastaajaviestejä nimeämättömältä ryhmältä, jossa väitetään tietojen varastamisesta.
• Sähköpostit, jotka koskevat tilausten uusimista ja jotka vaativat puhelun maksujen välttämiseksi.
• Pyytämättömät puhelut oletetuilta IT-henkilökunnilta, jotka kehottavat etäpääsyyn laitteeseesi.
• Epäilyttävät yhteydet WinSCP:n tai Rclone:n kautta ulkoisiin IP-osoitteisiin.

Nopeatempoiset hyökkäykset ja tukipalvelun huijaus

Tutkimukset osoittavat, että Luna Mothin "nopeat" soittopyyntöihin perustuvat tietojenkalastelukampanjat keskittyvät Yhdysvaltojen oikeus- ja rahoitussektoreille. He käyttävät alustoja, kuten Reamaze Helpdesk ja muita etätyöpöytäohjelmistoja. Pelkästään maaliskuussa 2025 Luna Moth rekisteröi ainakin 37 verkkotunnusta GoDaddyn kautta. Useimmat näistä verkkotunnuksista ovat väärennettyjä ja kohdistuivat organisaatioiden IT-tukipalveluihin ja -portaaleihin.

Nämä tukipalveluteemaiset verkkotunnukset alkavat tyypillisesti kohteena olevan yrityksen nimellä. Hyökkääjät luottavat pieneen määrään rekisterinpitäjiä ja nimipalvelinpalveluntarjoajia, joista yleisin on domaincontrol.com.

Pysy valppaana!

Luna Mothin kampanjat korostavat valppauden kriittistä tarvetta. Yhdistämällä perustyökaluja sosiaaliseen manipulointiin ja verkkotunnusten väärentämiseen he ohittavat monia puolustusmekanismeja ja asettavat arkaluonteiset tiedot vaaraan. Heidän taktiikkansa tunnistaminen on ensimmäinen askel suojautumisen ylläpitämiseksi.