Serangan Phishing Luna Moth

Biro Penyiasatan Persekutuan (FBI) AS telah mengeluarkan amaran mengenai serangan kejuruteraan sosial yang dilancarkan oleh kumpulan bernama Luna Moth. Aktor peras ugut jenayah ini telah menyasarkan firma guaman sejak dua tahun lalu, menggunakan gabungan e-mel pancingan data dan kejuruteraan sosial berasaskan telefon untuk mencuri data sensitif dan menuntut pembayaran.

Cara Mereka Beroperasi: Buku Main Pancingan Balik Panggilan

Luna Moth, juga dikenali sebagai Chatty Spider, Silent Ransom Group (SRG), Storm-0252 dan UNC3753, telah aktif sejak sekurang-kurangnya 2022. Ia bergantung terutamanya pada taktik yang dipanggil pancingan data panggilan balik atau penghantaran serangan berorientasikan telefon (TOAD). E-mel pancingan datanya, yang kelihatan tidak berbahaya dan berkisar pada invois dan langganan, menipu penerima supaya menghubungi nombor telefon untuk 'membatalkan' pembayaran atau langganan.

Semasa panggilan ini, penyerang membimbing mangsa untuk memasang program capaian jauh, mendapatkan akses tanpa kebenaran kepada sistem mereka. Dengan kawalan peranti ini, pelaku ancaman mengumpul maklumat sensitif dan membuat susulan dengan tuntutan pemerasan untuk mengelakkan data daripada dibocorkan atau dijual kepada penjenayah siber lain.

Daripada BazarCall kepada Penyamaran IT

Ini adalah krew yang sama di belakang kempen BazarCall sebelumnya yang menyebarkan perisian tebusan seperti Cont i. Sejak penutupan Conti, Luna Moth telah meningkatkan usaha mereka. Terutama, setakat Mac 2025, mereka telah mengubah strategi mereka dengan memanggil individu yang disasarkan secara langsung, menyamar sebagai pekerja jabatan IT. Pendekatan ini memanipulasi pekerja untuk menyertai sesi akses jauh, selalunya bertopengkan untuk melakukan penyelenggaraan semalaman.

Alatan Perdagangan: Gabungan dengan Perisian Sah

Setelah akses diberikan, Luna Moth meningkatkan keistimewaan dan menggunakan alat yang sah untuk mengeluarkan data:

• Rclone
• WinSCP
• Bantuan Zoho
• Syncro
• AnyDesk
• Splashtop
• Atera

Kerana ini adalah pengurusan sistem tulen dan alat capaian jauh, mereka sering mengelak pengesanan oleh alat keselamatan. Jika peranti yang terjejas tidak mempunyai keistimewaan pentadbir, WinSCP mudah alih digunakan untuk menyelinap keluar data yang dicuri. Walaupun merupakan taktik baru-baru ini, ia telah terbukti sangat berkesan, membawa kepada pelbagai kompromi yang berjaya.

Tanda-tanda Masalah: Petunjuk Serangan Luna Moth

Koperasi keselamatan siber harus melihat bendera merah tertentu:

• E-mel atau mel suara yang tidak dijangka daripada kumpulan yang tidak dinamakan yang mendakwa kecurian data.
• E-mel mengenai pembaharuan langganan yang memerlukan panggilan telefon untuk mengelakkan caj.
• Panggilan telefon yang tidak diminta daripada kakitangan IT yang sepatutnya mendesak akses jauh ke peranti anda.
• Sambungan mencurigakan yang dibuat melalui WinSCP atau Rclone ke alamat IP luaran.

Serangan Bertempo Tinggi dan Penipuan Meja Bantuan

Penyelidikan menunjukkan kempen pancingan data panggilan balik 'tempo tinggi' Luna Moth memfokuskan pada sektor undang-undang dan kewangan AS Mereka menggunakan platform seperti Reamaze Helpdesk dan perisian desktop jauh yang lain. Pada Mac 2025 sahaja, Luna Moth telah mendaftarkan sekurang-kurangnya 37 domain melalui GoDaddy. Kebanyakan domain ini menipu meja bantuan dan portal sokongan IT organisasi yang disasarkan.

Domain bertemakan meja bantuan ini biasanya bermula dengan nama perniagaan yang disasarkan. Penyerang bergantung pada sebilangan kecil pendaftar dan penyedia pelayan nama, dengan domaincontrol.com menjadi yang paling biasa.

Kekal Berwaspada!

Kempen Luna Moth menyerlahkan keperluan kritikal untuk kewaspadaan. Dengan menggabungkan alat asas dengan kejuruteraan sosial dan penipuan domain, mereka memintas banyak pertahanan dan meletakkan data sensitif pada risiko. Menyedari taktik mereka adalah langkah pertama untuk kekal dilindungi.