Luna Moth adathalász támadás
Az Egyesült Államok Szövetségi Nyomozó Irodája (FBI) figyelmeztetést adott ki a Luna Moth nevű csoport által indított szociális manipulációval kapcsolatos támadásokról. Ez a bűnözői zsarolócsoport az elmúlt két évben ügyvédi irodákat vett célba adathalász e-mailek és telefonos szociális manipuláció keverékét használva érzékeny adatok ellopására és fizetés követelésére.
Tartalomjegyzék
Hogyan működnek: A visszahívásos adathalászat kézikönyve
A Luna Moth, más néven Chatty Spider, Silent Ransom Group (SRG), Storm-0252 és UNC3753, legalább 2022 óta aktív. Elsősorban a visszahívásos adathalászatnak vagy telefonos támadás kézbesítésnek (TOAD) nevezett taktikára támaszkodik. Ártalmatlannak tűnő, számlákra és előfizetésekre vonatkozó adathalász e-mailjei arra késztetik a címzetteket, hogy felhívjanak egy telefonszámot egy fizetés vagy előfizetés „lemondása” érdekében.
Ezen hívások során a támadók arra utasítják az áldozatot, hogy telepítsen egy távoli hozzáférést biztosító programot, jogosulatlan hozzáférést szerezve a rendszereikhez. Az eszközök feletti irányítással a kiberfenyegető szereplők érzékeny információkat gyűjtenek, és zsarolási igényeket támasztanak, hogy megakadályozzák az adatok kiszivárgását vagy más kiberbűnözőknek történő eladását.
A BazarCalltól az IT-megszemélyesítésig
Ugyanez a csapat állt a korábbi BazarCall kampányok mögött is, amelyek olyan zsarolóvírusokat terjesztettek, mint a Cont i. A Conti leállása óta a Luna Moth fokozta erőfeszítéseit. Figyelemre méltó, hogy 2025 márciusától kezdve továbbfejlesztették stratégiájukat azzal, hogy közvetlenül felhívják a célzott személyeket, informatikai osztály alkalmazottainak adva ki magukat. Ez a megközelítés manipulálja az alkalmazottakat, hogy csatlakozzanak egy távoli hozzáférési munkamenethez, gyakran az éjszakai karbantartás álcája alatt.
Szakmai eszközök: Összhangban a legitim szoftverekkel
A hozzáférés megadása után a Luna Moth fokozza a jogosultságokat, és legitim eszközöket használ az adatok kiszivárogtatására:
- Rclone
- WinSCP
- Zoho Assist
- Szinkron
- AnyDesk
- Splashtop
- Atera
Mivel ezek valódi rendszerfelügyeleti és távoli hozzáférési eszközök, gyakran elkerülik a biztonsági eszközök észlelését. Ha a feltört eszköz nem rendelkezik rendszergazdai jogosultságokkal, a WinSCP portable programot használják az ellopott adatok kinyerésére. Annak ellenére, hogy ez egy új taktika, figyelemre méltóan hatékonynak bizonyult, és több sikeres feltöréshez vezetett.
A baj jelei: A Luna Moth támadásának mutatói
A kiberbiztonsági szakembereknek figyelniük kell bizonyos vészjelzésekre:
- Váratlan e-mailek vagy hangüzenetek egy meg nem nevezett csoporttól, akik adatlopást állítanak.
- Előfizetés-megújítással kapcsolatos e-mailek, amelyek díjak elkerülése érdekében telefonhívást igényelnek.
- Kéretlen telefonhívások állítólagos informatikai személyzettől, amelyekben távoli hozzáférést sürgetnek az eszközödhöz.
- Gyanús kapcsolatok létesültek WinSCP-n vagy Rclone-on keresztül külső IP-címekhez.
Nagy tempójú támadások és ügyfélszolgálati hamisítás
A kutatások azt mutatják, hogy a Luna Moth „nagy tempójú” visszahívásos adathalász kampányai az Egyesült Államok jogi és pénzügyi szektorára összpontosítanak. Olyan platformokat használnak, mint a Reamaze Helpdesk és más távoli asztali szoftverek. Csak 2025 márciusában a Luna Moth legalább 37 domaint regisztrált a GoDaddy-n keresztül. Ezen domainek többsége szervezetek informatikai ügyfélszolgálatait és támogatási portáljait hamisítja.
Ezek a helpdesk témájú domainek jellemzően a célzott vállalkozás nevével kezdődnek. A támadók néhány regisztrátorra és névszerver-szolgáltatóra támaszkodnak, amelyek közül a domaincontrol.com a leggyakoribb.
Maradj éber!
Luna Moth kampányai rávilágítanak az éberség kritikus fontosságára. Az alapvető eszközök, a pszichológiai manipuláció és a domainhamisítás ötvözésével számos védelmi mechanizmust megkerülnek, és veszélyeztetik az érzékeny adatokat. Taktikáik felismerése az első lépés a védelem megőrzése felé.
