Luna Moth Phishing Attack

미국 연방수사국(FBI)은 루나 모스(Luna Moth)라는 조직이 자행한 소셜 엔지니어링 공격에 대해 경고했습니다. 이 범죄적 갈취 조직은 지난 2년간 로펌들을 표적으로 삼아 피싱 이메일과 전화 기반 소셜 엔지니어링을 혼합하여 민감한 데이터를 훔치고 금품을 요구해 왔습니다.

작동 방식: 콜백 피싱 플레이북

루나 모스는 Chatty Spider, Silent Ransom Group(SRG), Storm-0252, UNC3753으로도 알려져 있으며, 최소 2022년부터 활동해 왔습니다. 주로 콜백 피싱 또는 전화 지향 공격 전달(TOAD)이라는 수법을 사용합니다. 겉보기에는 무해해 보이지만 송장과 구독 정보를 제공하는 피싱 이메일은 수신자를 속여 특정 전화번호로 전화를 걸어 결제 또는 구독을 '취소'하도록 유도합니다.

이러한 통화 중에 공격자는 피해자가 원격 접속 프로그램을 설치하도록 유도하여 시스템에 무단으로 접근합니다. 이러한 기기를 장악한 위협 행위자는 민감한 정보를 수집하고, 데이터가 다른 사이버 범죄자에게 유출되거나 판매되는 것을 막기 위해 금품 갈취를 요구합니다.

BazarCall에서 IT 사칭까지

이들은 Cont i와 같은 랜섬웨어를 유포했던 이전 BazarCall 캠페인의 배후에 있는 조직과 동일합니다. Conti가 폐쇄된 이후 Luna Moth는 활동을 강화했습니다. 특히 2025년 3월부터는 IT 부서 직원을 사칭하여 표적 개인에게 직접 전화를 걸어 공격 전략을 강화했습니다. 이러한 접근 방식은 직원들을 조종하여 원격 접속 세션에 참여하게 하는데, 종종 야간 유지 관리 업무를 수행한다는 명목으로 이루어집니다.

무역 도구: 합법적인 소프트웨어에 섞이기

접근 권한이 부여되면 Luna Moth는 권한을 확대하고 합법적인 도구를 사용하여 데이터를 빼냅니다.

• 알클론
• 윈SCP
• 조호 어시스트
• 싱크로
• 애니데스크
• 스플래시탑
• 아테라

이러한 도구는 진정한 시스템 관리 및 원격 액세스 도구이기 때문에 보안 도구의 탐지를 피하는 경우가 많습니다. 손상된 장치에 관리자 권한이 없는 경우, WinSCP Portable을 사용하여 훔친 데이터를 빼냅니다. 최근의 전술임에도 불구하고, 이 방법은 매우 효과적이어서 여러 건의 성공적인 침해 사례로 이어졌습니다.

문제의 징후: 루나나방 공격의 징후

사이버 보안 요원은 다음과 같은 위험 신호를 주의해야 합니다.

• 이름이 밝혀지지 않은 그룹으로부터 데이터 도난을 주장하는 예상치 못한 이메일이나 음성 메일이 왔습니다.
• 요금을 피하기 위해 전화로 연락해야 하는 구독 갱신 관련 이메일.
• IT 직원이라고 주장하는 직원으로부터 걸려온 원치 않는 전화로 사용자의 기기에 원격으로 접근해 달라고 요청합니다.
• WinSCP 또는 Rclone을 통해 외부 IP 주소에 의심스러운 연결이 만들어졌습니다.

고속 공격 및 헬프데스크 스푸핑

연구에 따르면 Luna Moth의 '고속' 콜백 피싱 캠페인은 미국 법률 및 금융 부문을 중심으로 이루어집니다. 이들은 Reamaze Helpdesk 및 기타 원격 데스크톱 소프트웨어와 같은 플랫폼을 사용합니다. Luna Moth는 2025년 3월에만 GoDaddy를 통해 최소 37개의 도메인을 등록했습니다. 이러한 도메인의 대부분은 대상 조직의 IT 헬프데스크 및 지원 포털을 스푸핑합니다.

이러한 헬프데스크 관련 도메인은 일반적으로 대상 사업체의 이름으로 시작합니다. 공격자는 소수의 등록기관과 네임서버 제공업체를 이용하는데, domaincontrol.com이 가장 흔합니다.

항상 경계하세요!

루나 모스의 캠페인은 경계의 중요성을 강조합니다. 루나 모스는 기본적인 공격 기법과 소셜 엔지니어링, 도메인 스푸핑을 혼합하여 여러 방어 체계를 우회하고 민감한 데이터를 위험에 빠뜨립니다. 루나 모스의 전략을 파악하는 것이 보안 유지의 첫걸음입니다.