Luna Moth Phishing-angrep

Det amerikanske føderale etterforskningsbyrået (FBI) har utstedt en advarsel om sosial manipulering av angrep utført av en gruppe kalt Luna Moth. Denne kriminelle utpressingsaktøren har rettet seg mot advokatfirmaer de siste to årene, ved å bruke en blanding av phishing-e-poster og telefonbasert sosial manipulering for å stjele sensitive data og kreve betaling.

Hvordan de opererer: Håndboken for tilbakeringingsphishing

Luna Moth, også kjent som Chatty Spider, Silent Ransom Group (SRG), Storm-0252 og UNC3753, har vært aktiv siden minst 2022. Den bruker hovedsakelig en taktikk som kalles callback phishing eller telefonorientert angrepslevering (TOAD). Phishing-e-postene deres, som ser harmløse ut og dreier seg om fakturaer og abonnementer, lurer mottakerne til å ringe et telefonnummer for å «kansellere» en betaling eller et abonnement.

Under disse samtalene veileder angriperne offeret til å installere et fjerntilgangsprogram, og dermed få uautorisert tilgang til systemene deres. Med kontroll over disse enhetene samler trusselaktørene inn sensitiv informasjon og følger opp med utpressingskrav for å forhindre at dataene lekker eller selges til andre nettkriminelle.

Fra BazarCall til IT-etterligning

Dette er det samme teamet som står bak tidligere BazarCall -kampanjer som spredte løsepengevirus som Cont i. Siden Contis nedleggelse har Luna Moth intensivert innsatsen. Det er verdt å merke seg at de fra mars 2025 har utviklet strategien sin ved å ringe målrettede personer direkte, og utgi seg for å være ansatte i IT-avdelingen. Denne tilnærmingen manipulerer ansatte til å bli med i en ekstern tilgangsøkt, ofte under dekke av å utføre vedlikehold over natten.

Verktøy i faget: Blander seg med legitim programvare

Når tilgang er gitt, eskalerer Luna Moth privilegier og bruker legitime verktøy for å stramme inn data:

• Rclone
• WinSCP
• Zoho Assist
• Synkronisering
• AnyDesk
• Sprutplate
• Atera

Fordi dette er ekte verktøy for systemadministrasjon og fjerntilgang, unngår de ofte å bli oppdaget av sikkerhetsverktøy. Hvis den kompromitterte enheten mangler administratorrettigheter, brukes WinSCP portable til å snike ut de stjålne dataene. Til tross for at det er en nyere taktikk, har den vist seg bemerkelsesverdig effektiv, noe som har ført til flere vellykkede kompromitteringer.

Tegn på problemer: Indikatorer for et Luna Moth-angrep

Nettsikkerhetsagenter bør være oppmerksomme på visse røde flagg:

• Uventede e-poster eller talemeldinger fra en navnløs gruppe som hevder datatyveri.
• E-poster angående abonnementsfornyelser som krever en telefonsamtale for å unngå kostnader.
• Uoppfordrede telefonoppringninger fra angivelig IT-ansatte som oppfordrer til ekstern tilgang til enheten din.
• Mistenkelige tilkoblinger gjort via WinSCP eller Rclone til eksterne IP-adresser.

Høytempoangrep og forfalskning av brukerstøtte

Forskning viser at Luna Moths «høytempo» phishing-kampanjer for tilbakeringing fokuserer på den juridiske og finansielle sektoren i USA. De bruker plattformer som Reamaze Helpdesk og annen programvare for eksternt skrivebord. Bare i mars 2025 registrerte Luna Moth minst 37 domener gjennom GoDaddy. De fleste av disse domenene forfalsker målrettede organisasjoners IT-hjelpesentre og supportportaler.

Disse domenene med brukerstøtte starter vanligvis med navnet på den aktuelle virksomheten. Angriperne er avhengige av et lite antall registrarer og navneserverleverandører, der domaincontrol.com er den vanligste.

Vær oppmerksom!

Luna Moths kampanjer fremhever det kritiske behovet for årvåkenhet. Ved å kombinere grunnleggende verktøy med sosial manipulering og domeneforfalskning, omgår de mange forsvarsmekanismer og setter sensitive data i fare. Å gjenkjenne taktikkene deres er det første skrittet for å holde seg beskyttet.