Luna Moth pikšķerēšanas uzbrukums

ASV Federālais izmeklēšanas birojs (FIB) ir izdevis brīdinājumu par sociālās inženierijas uzbrukumiem, ko veikusi grupa ar nosaukumu Luna Moth. Šis noziedzīgais izspiešanas dalībnieks pēdējos divus gadus ir uzbrūkis juridiskajiem birojiem, izmantojot pikšķerēšanas e-pastu un tālruņa zvanu sociālās inženierijas apvienojumu, lai nozagtu sensitīvus datus un pieprasītu samaksu.

Kā tie darbojas: atzvanīšanas pikšķerēšanas rokasgrāmata

Luna Moth, kas pazīstama arī kā Chatty Spider, Silent Ransom Group (SRG), Storm-0252 un UNC3753, ir aktīva vismaz kopš 2022. gada. Tā galvenokārt balstās uz taktiku, ko sauc par atzvanīšanas pikšķerēšanu vai uz tālruni orientētu uzbrukumu piegādi (TOAD). Tās pikšķerēšanas e-pasti, kas izskatās nekaitīgi un ir saistīti ar rēķiniem un abonementiem, maldina adresātus, lai tie piezvanītu uz tālruņa numuru, lai "atceltu" maksājumu vai abonementu.

Šo zvanu laikā uzbrucēji palīdz upurim instalēt attālās piekļuves programmu, iegūstot neatļautu piekļuvi savām sistēmām. Kontrolējot šīs ierīces, uzbrucēji vāc sensitīvu informāciju un pēc tam pieprasa izspiešanu, lai novērstu datu noplūdi vai pārdošanu citiem kibernoziedzniekiem.

No BazarCall līdz IT personifikācijai

Šī ir tā pati komanda, kas stāvēja aiz iepriekšējām BazarCall kampaņām, kas izplatīja izspiedējvīrusus, piemēram, Cont i. Kopš Conti slēgšanas Luna Moth ir pastiprinājuši savus centienus. Jāatzīmē, ka kopš 2025. gada marta viņi ir attīstījuši savu stratēģiju, tieši zvanot mērķauditorijai, izliekoties par IT nodaļas darbiniekiem. Šī pieeja manipulē ar darbiniekiem, lai tie pievienotos attālinātas piekļuves sesijai, bieži vien aizbildinoties ar nakts apkopes veikšanu.

Tirdzniecības rīki: saplūšana ar likumīgu programmatūru

Kad piekļuve ir piešķirta, Luna Moth paplašina privilēģijas un izmanto likumīgus rīkus datu izvilkšanai:

• Rklons
• WinSCP
• Zoho palīdzība
• Sinhronizācija
• AnyDesk
• Šļakatu laukums
• Atera

Tā kā šie ir īsti sistēmas pārvaldības un attālās piekļuves rīki, drošības rīki tos bieži vien nevar atklāt. Ja apdraudētajai ierīcei nav administratora privilēģiju, nozagto datu iegūšanai tiek izmantota pārnēsājamā WinSCP versija. Lai gan šī ir nesena taktika, tā ir izrādījusies ievērojami efektīva, novedot pie vairākiem veiksmīgiem uzbrukumiem.

Problēmas pazīmes: Luna kodes uzbrukuma rādītāji

Kiberdrošības darbiniekiem jāpievērš uzmanība noteiktiem brīdinājuma signāliem:

• Negaidīti e-pasti vai balss pasta ziņojumi no nenosauktas grupas, kas apgalvo par datu zādzību.
• E-pasti par abonementu atjaunošanu, kuriem nepieciešams telefona zvans, lai izvairītos no maksas iekasēšanas.
• Nevēlami telefona zvani no it kā IT darbiniekiem, kas mudina attālināti piekļūt jūsu ierīcei.
• Aizdomīgi savienojumi, kas izveidoti, izmantojot WinSCP vai Rclone, uz ārējām IP adresēm.

Ātrgaitas uzbrukumi un palīdzības dienesta viltošana

Pētījumi liecina, ka Luna Moth “ātra tempa” atzvanu pikšķerēšanas kampaņas ir vērstas uz ASV juridisko un finanšu sektoru. Tās izmanto tādas platformas kā Reamaze Helpdesk un citu attālās darbvirsmas programmatūru. Vien 2025. gada martā Luna Moth reģistrēja vismaz 37 domēnus, izmantojot GoDaddy. Lielākā daļa šo domēnu ir viltoti un mērķēti uz organizāciju IT palīdzības dienestiem un atbalsta portāliem.

Šie ar palīdzības dienestu saistītie domēni parasti sākas ar mērķētā uzņēmuma nosaukumu. Uzbrucēji paļaujas uz nelielu skaitu reģistratoru un vārdu serveru pakalpojumu sniedzēju, un visizplatītākais ir domaincontrol.com.

Esiet modri!

Luna Moth kampaņas uzsver kritisko nepieciešamību būt modram. Apvienojot fundamentālus rīkus ar sociālo inženieriju un domēnu viltošanu, viņi apiet daudzas aizsardzības un pakļauj riskam sensitīvus datus. Viņu taktikas atpazīšana ir pirmais solis aizsardzības saglabāšanā.