Napad phishingom Luna Moth
Američki Federalni istražni ured (FBI) izdao je upozorenje o napadima socijalnog inženjeringa koje je pokrenula skupina pod nazivom Luna Moth. Ovaj kriminalni iznuđivač već dvije godine cilja odvjetničke tvrtke, koristeći kombinaciju phishing e-poruka i socijalnog inženjeringa putem telefona kako bi ukrao osjetljive podatke i zahtijevao plaćanje.
Sadržaj
Kako djeluju: Priručnik za phishing s povratnim pozivima
Luna Moth, također poznat kao Chatty Spider, Silent Ransom Group (SRG), Storm-0252 i UNC3753, aktivan je najmanje od 2022. godine. Primarno se oslanja na taktiku koja se naziva povratni phishing ili telefonski orijentirana isporuka napada (TOAD). Njegove phishing e-poruke, koje izgledaju bezopasno i vrte se oko računa i pretplata, vara primatelje da pozovu telefonski broj kako bi 'otkazali' plaćanje ili pretplatu.
Tijekom tih poziva, napadači navode žrtvu da instalira program za udaljeni pristup, dobivajući neovlašteni pristup njihovim sustavima. S kontrolom nad tim uređajima, akteri prijetnji prikupljaju osjetljive informacije i slijede zahtjeve za iznudom kako bi spriječili curenje podataka ili prodaju drugim kibernetičkim kriminalcima.
Od BazarCall-a do IT impersonacije
Ovo je ista ekipa koja stoji iza prethodnih BazarCall kampanja koje su širile ransomware poput Cont i. Od Contijevog gašenja, Luna Moth je pojačala svoje napore. Značajno je da su od ožujka 2025. razvili svoju strategiju izravno pozivajući ciljane pojedince, predstavljajući se kao zaposlenici IT odjela. Ovaj pristup manipulira zaposlenicima da se pridruže sesiji udaljenog pristupa, često pod krinkom obavljanja noćnog održavanja.
Alati zanata: Uklapanje s legitimnim softverom
Nakon što je pristup odobren, Luna Moth povećava privilegije i koristi legitimne alate za krađu podataka:
- Kloniraj
- WinSCP
- Zoho pomoć
- Sinkronizacija
- AnyDesk
- Splashtop
- Atera
Budući da su to pravi alati za upravljanje sustavom i udaljeni pristup, često ih sigurnosni alati ne otkrivaju. Ako kompromitirani uređaj nema administratorske privilegije, WinSCP portable se koristi za krađu ukradenih podataka. Unatoč tome što je to nedavna taktika, pokazala se izuzetno učinkovitom, što je dovelo do više uspješnih kompromitacija.
Znakovi problema: Pokazatelji napada moljca Lune
Stručnjaci za kibernetičku sigurnost trebali bi paziti na određene znakove upozorenja:
- Neočekivane e-poruke ili govorne poruke od neimenovane grupe koja tvrdi da je u pitanju krađa podataka.
- E-poruke u vezi s obnovom pretplate koje zahtijevaju telefonski poziv kako bi se izbjegle naplate.
- Neželjeni telefonski pozivi od navodnog IT osoblja koji nagovaraju na udaljeni pristup vašem uređaju.
- Sumnjive veze uspostavljene putem WinSCP-a ili Rclonea s vanjskim IP adresama.
Napadi visokog tempa i lažiranje korisničke podrške
Istraživanja pokazuju da se Luna Mothove kampanje krađe identiteta s povratnim pozivima "brzog tempa" fokusiraju na pravni i financijski sektor SAD-a. Koriste platforme poput Reamaze Helpdeska i drugog softvera za udaljenu radnu površinu. Samo u ožujku 2025. Luna Moth je registrirala najmanje 37 domena putem GoDaddyja. Većina tih domena lažira IT službe za pomoć i portale za podršku ciljanih organizacija.
Ove domene s temom službe za korisnike obično počinju nazivom ciljane tvrtke. Napadači se oslanjaju na mali broj registratora i pružatelja usluga nameservera, a domaincontrol.com je najčešći.
Ostanite oprezni!
Luna Moth kampanje naglašavaju kritičnu potrebu za budnošću. Kombinirajući temeljne alate sa socijalnim inženjeringom i lažiranjem domena, zaobilaze mnoge obrane i ugrožavaju osjetljive podatke. Prepoznavanje njihovih taktika prvi je korak u zaštiti.
