Luna Moth Phishing Attack

הלשכה הפדרלית לחקירות אמריקאיות (FBI) פרסמה אזהרה מפני מתקפות הנדסה חברתית של קבוצה בשם Luna Moth. גורם סחיטה פלילי זה מכוון למשרדי עורכי דין בשנתיים האחרונות, תוך שימוש בשילוב של מיילים של פישינג והנדסה חברתית מבוססת טלפון כדי לגנוב מידע רגיש ולדרוש תשלום.

איך הם פועלים: מדריך פישינג לשיחות חוזרות

Luna Moth, הידוע גם בשם Chatty Spider, Silent Ransom Group (SRG), Storm-0252 ו-UNC3753, פעיל מאז לפחות 2022. הוא מסתמך בעיקר על טקטיקה הנקראת פישינג חוזר או מסירת התקפה מוכוונת טלפון (TOAD). הודעות הדוא"ל שלו, שנראות לא מזיקות וסובבות סביב חשבוניות ומנויים, מרמים את הנמענים להתקשר למספר טלפון כדי "לבטל" תשלום או מנוי.

במהלך שיחות אלו, התוקפים מנחים את הקורבן להתקין תוכנת גישה מרחוק, ובכך להשיג גישה לא מורשית למערכות שלהם. באמצעות שליטה במכשירים אלו, גורמי האיום אוספים מידע רגיש ועוקבים אחר דרישות סחיטה כדי למנוע דליפת נתונים או מכירתם לפושעי סייבר אחרים.

מ-BazarCall להתחזות ב-IT

זהו אותו צוות שעומד מאחורי קמפיינים קודמים של BazarCall שהפיצו תוכנות כופר כמו Cont i. מאז סגירת Conti, Luna Moth הגבירה את מאמציה. ראוי לציין, כי החל ממרץ 2025, הם פיתחו את האסטרטגיה שלהם על ידי התקשרות ישירה לאנשים ממוקדים, תוך התחזות לעובדי מחלקת ה-IT. גישה זו גורמת לעובדים להצטרף לסשן גישה מרחוק, לעתים קרובות במסווה של ביצוע תחזוקה בן לילה.

כלי עבודה: שילוב עם תוכנה לגיטימית

לאחר מתן גישה, Luna Moth מגדילה את ההרשאות ומשתמשת בכלים לגיטימיים כדי לגנוב נתונים:

• רקלון
• WinSCP
• Zoho Assist
• סינקרו
• AnyDesk
• ספלאשטופ
• אטרה

מכיוון שמדובר בכלים מקוריים לניהול מערכת וגישה מרחוק, הם לעיתים קרובות מתחמקים מגילוי על ידי כלי אבטחה. אם למכשיר שנפרץ חסרות הרשאות מנהל, WinSCP portable משמש כדי להגניב את הנתונים הגנובים. למרות היותה טקטיקה חדשה, היא הוכחה כיעילה להפליא, מה שהוביל למספר פשרות מוצלחות.

סימני צרות: אינדיקטורים להתקפת עש לונה

על אנשי אבטחת סייבר לשים לב למספר דגלים אדומים:

• אימיילים או הודעות קוליות בלתי צפויות מקבוצה אנונימית הטוענת לגניבת נתונים.
• אימיילים בנוגע לחידוש מנוי המחייבים שיחת טלפון כדי להימנע מחיובים.
• שיחות טלפון לא רצויות מאנשי צוות IT לכאורה הקוראים לגישה מרחוק למכשיר שלך.
• חיבורים חשודים שבוצעו באמצעות WinSCP או Rclone לכתובות IP חיצוניות.

התקפות בקצב גבוה וזיופים של מוקדי תמיכה

מחקרים מראים כי קמפייני הפישינג "הקצביים" של לונה מות' מתמקדים במגזר המשפטי והפיננסי של ארה"ב. הם משתמשים בפלטפורמות כמו Reamaze Helpdesk ותוכנות שולחן עבודה מרוחק אחרות. במרץ 2025 לבדו, לונה מות' רשמה לפחות 37 דומיינים דרך GoDaddy. רוב הדומיינים הללו מזייפים את מרכזי התמיכה והפורטלים של ארגונים ממוקדים.

דומיינים אלה, המבוססים על מרכז תמיכה, מתחילים בדרך כלל בשם העסק הממוקד. התוקפים מסתמכים על מספר קטן של רשמים וספקי שרתי שמות, כאשר domaincontrol.com הוא הנפוץ ביותר.

הישארו ערניים!

הקמפיינים של לונה מות' מדגישים את הצורך הקריטי בערנות. על ידי שילוב כלים בסיסיים עם הנדסה חברתית וזיוף דומיינים, הם עוקפים הגנות רבות ומסכנים מידע רגיש. זיהוי הטקטיקות שלהם הוא הצעד הראשון בשמירה על הגנה.