Luna Moth Phishing-aanval
De Amerikaanse Federal Bureau of Investigation (FBI) waarschuwt voor social engineering-aanvallen van een groep genaamd Luna Moth. Deze criminele afperser richt zich al twee jaar op advocatenkantoren en gebruikt een combinatie van phishingmails en telefonische social engineering om gevoelige gegevens te stelen en betaling te eisen.
Inhoudsopgave
Hoe ze werken: het Callback Phishing-handboek
Luna Moth, ook bekend als Chatty Spider, Silent Ransom Group (SRG), Storm-0252 en UNC3753, is al sinds minstens 2022 actief. Het maakt voornamelijk gebruik van een tactiek genaamd callback phishing of telephone-related attack delivery (TOAD). De phishingmails, die er onschuldig uitzien en draaien om facturen en abonnementen, proberen ontvangers ertoe te verleiden een telefoonnummer te bellen om een betaling of abonnement te 'annuleren'.
Tijdens deze gesprekken begeleiden de aanvallers het slachtoffer bij het installeren van een programma voor toegang op afstand, waarmee ze ongeautoriseerde toegang tot hun systemen krijgen. Met de controle over deze apparaten verzamelen de aanvallers gevoelige informatie en voeren ze afpersingsverzoeken uit om te voorkomen dat de gegevens worden gelekt of verkocht aan andere cybercriminelen.
Van BazarCall naar IT-imitatie
Dit is dezelfde groep die achter eerdere BazarCall -campagnes zat die ransomware verspreidden zoals Cont i. Sinds de sluiting van Conti heeft Luna Moth hun inspanningen geïntensiveerd. Opvallend is dat ze vanaf maart 2025 hun strategie hebben aangepast door de beoogde personen rechtstreeks te bellen, waarbij ze zich voordoen als medewerkers van de IT-afdeling. Deze aanpak manipuleert medewerkers om deel te nemen aan een sessie voor externe toegang, vaak onder het mom van nachtelijk onderhoud.
Tools of the Trade: samenwerken met legitieme software
Zodra toegang is verleend, verhoogt Luna Moth de rechten en gebruikt legitieme tools om gegevens te exfiltreren:
- Rkloon
- WinSCP
- Zoho Assist
- Syncro
- AnyDesk
- Spatwatertop
- Atera
Omdat dit echte tools voor systeembeheer en toegang op afstand zijn, ontwijken ze vaak detectie door beveiligingstools. Als het gecompromitteerde apparaat geen beheerdersrechten heeft, wordt WinSCP portable gebruikt om de gestolen gegevens te stelen. Hoewel het een recente tactiek is, is het opmerkelijk effectief gebleken en heeft het tot meerdere succesvolle aanvallen geleid.
Tekenen van onheil: Indicatoren van een aanval van een maanvlinder
Cybersecuritymedewerkers moeten op bepaalde rode vlaggen letten:
- Onverwachte e-mails of voicemails van een anonieme groep die beweert dat er gegevens zijn gestolen.
- E-mails over het verlengen van een abonnement waarvoor een telefoontje vereist is om kosten te vermijden.
- Ongevraagde telefoontjes van zogenaamde IT-medewerkers die aandringen op externe toegang tot uw apparaat.
- Verdachte verbindingen via WinSCP of Rclone naar externe IP-adressen.
Aanvallen op hoge snelheid en helpdesk-spoofing
Onderzoek toont aan dat Luna Moth's 'snelle' callback-phishingcampagnes zich richten op de juridische en financiële sector in de VS. Ze gebruiken platforms zoals Reamaze Helpdesk en andere software voor externe bureaubladen. Alleen al in maart 2025 registreerde Luna Moth minstens 37 domeinen via GoDaddy. De meeste van deze domeinen imiteren de IT-helpdesks en supportportals van beoogde organisaties.
Deze domeinen met een helpdeskthema beginnen meestal met de naam van het beoogde bedrijf. De aanvallers maken gebruik van een klein aantal registrars en nameserverproviders, waarvan domaincontrol.com de meest voorkomende is.
Blijf alert!
De campagnes van Luna Moth benadrukken de cruciale noodzaak van waakzaamheid. Door basistools te combineren met social engineering en domeinspoofing omzeilen ze veel verdedigingsmechanismen en brengen ze gevoelige gegevens in gevaar. Het herkennen van hun tactieken is de eerste stap om beschermd te blijven.
