„Luna Moth“ sukčiavimo ataka
JAV federalinis tyrimų biuras (FTB) paskelbė įspėjimą apie socialinės inžinerijos atakas, kurias vykdo grupuotė „Luna Moth“. Šis nusikalstamas turto prievartavimo veikėjas pastaruosius dvejus metus taikėsi į advokatų kontoras, naudodamas sukčiavimo el. laiškus ir socialinės inžinerijos telefonu būdus, kad pavogtų neskelbtinus duomenis ir pareikalautų sumokėti.
Turinys
Kaip jie veikia: atgalinio iškvietimo sukčiavimo strategijų vadovas
„Luna Moth“, dar žinoma kaip „Chatty Spider“, „Silent Ransom Group“ (SRG), „Storm-0252“ ir „UNC3753“, veikia mažiausiai nuo 2022 m. Ji daugiausia remiasi taktika, vadinama atgalinio skambučio sukčiavimu arba telefonu pagrįstos atakos pristatymu (TOAD). Jos sukčiavimo el. laiškai, kurie atrodo nekenksmingi ir susiję su sąskaitomis faktūromis bei prenumeratomis, apgaule priverčia gavėjus paskambinti telefono numeriu, kad „atšauktų“ mokėjimą ar prenumeratą.
Šių skambučių metu užpuolikai padeda aukai įdiegti nuotolinės prieigos programą, taip gaudami neteisėtą prieigą prie jų sistemų. Kontroliuodami šiuos įrenginius, nusikaltėliai renka neskelbtiną informaciją ir vykdo turto prievartavimo veiksmus, kad duomenys nebūtų nutekinti ar parduoti kitiems kibernetiniams nusikaltėliams.
Nuo „BazarCall“ iki IT imitacijos
Tai ta pati komanda, atsakinga už ankstesnes „BazarCall“ kampanijas, kurios platino išpirkos reikalaujančias programas, tokias kaip „Cont i“. Nuo „Conti“ uždarymo „Luna Moth“ suintensyvino savo pastangas. Pažymėtina, kad nuo 2025 m. kovo mėn. jie išplėtojo savo strategiją, skambindami tiesiogiai tiksliniams asmenims, apsimesdami IT skyriaus darbuotojais. Tokiu būdu darbuotojai manipuliuojami prisijungti prie nuotolinės prieigos sesijos, dažnai prisidengiant naktinės priežiūros atlikimu.
Pramonės įrankiai: derinimas su teisėta programine įranga
Suteikus prieigą, „Luna Moth“ padidina privilegijas ir naudoja teisėtus įrankius duomenims išgauti:
- Rklonas
- WinSCP
- „Zoho Assist“
- Sinchroninis
- AnyDesk
- Splashtop
- Atera
Kadangi tai yra tikros sistemos valdymo ir nuotolinės prieigos priemonės, jų dažnai neaptinka saugumo priemonės. Jei pažeistam įrenginiui trūksta administratoriaus teisių, pavogtiems duomenims išgauti naudojamas nešiojamas „WinSCP“. Nors tai nauja taktika, ji pasirodė esanti nepaprastai veiksminga ir lėmė daugybę sėkmingų įsilaužimų.
Bėdų požymiai: Luna Moth atakos rodikliai
Kibernetinio saugumo specialistai turėtų atkreipti dėmesį į tam tikrus įspėjamuosius ženklus:
- Netikėti el. laiškai arba balso pašto pranešimai iš neįvardytos grupės, kurioje tvirtinama apie duomenų vagystę.
- El. laiškai dėl prenumeratos atnaujinimo, kuriems atlikti reikia paskambinti, kad būtų išvengta mokesčių.
- Nepageidaujami telefono skambučiai iš tariamų IT darbuotojų, raginančių nuotoliniu būdu pasiekti jūsų įrenginį.
- Įtartini ryšiai, užmegzti per „WinSCP“ arba „Rclone“ prie išorinių IP adresų.
Greito tempo atakos ir pagalbos tarnybos klastojimas
Tyrimai rodo, kad „Luna Moth“ „greito tempo“ atgalinio ryšio sukčiavimo kampanijos daugiausia dėmesio skiria JAV teisiniam ir finansų sektoriams. Jos naudoja tokias platformas kaip „Reamaze Helpdesk“ ir kitą nuotolinio darbalaukio programinę įrangą. Vien 2025 m. kovo mėn. „Luna Moth“ per „GoDaddy“ užregistravo mažiausiai 37 domenus. Dauguma šių domenų yra skirti organizacijų IT pagalbos tarnyboms ir palaikymo portalams.
Šie pagalbos tarnybos tematikos domenai paprastai prasideda tikslinės įmonės pavadinimu. Užpuolikai pasikliauja nedideliu skaičiumi registratorių ir vardų serverių teikėjų, o dažniausiai tai yra domaincontrol.com.
Būkite budrūs!
„Luna Moth“ kampanijos pabrėžia kritinį budrumo poreikį. Derindamos pagrindines priemones su socialine inžinerija ir domenų klastojimu, jos apeina daugelį apsaugos priemonių ir kelia pavojų slaptiems duomenims. Jų taktikos atpažinimas yra pirmas žingsnis siekiant apsaugos.
