Atak phishingowy Luna Moth

Federalne Biuro Śledcze USA (FBI) wydało ostrzeżenie o atakach socjotechnicznych przeprowadzanych przez grupę o nazwie Luna Moth. Ten przestępca wyłudzający pieniądze atakuje kancelarie prawne od dwóch lat, wykorzystując mieszankę wiadomości phishingowych i socjotechniki telefonicznej, aby kraść poufne dane i żądać zapłaty.

Jak działają: Podręcznik phishingu typu callback

Luna Moth, znana również jako Chatty Spider, Silent Ransom Group (SRG), Storm-0252 i UNC3753, działa co najmniej od 2022 r. Polega głównie na taktyce zwanej callback phishing lub telephone-oriented attack delivery (TOAD). Jej e-maile phishingowe, które wyglądają niegroźnie i dotyczą faktur i subskrypcji, oszukują odbiorców, aby zadzwonili pod numer telefonu, aby „anulować” płatność lub subskrypcję.

Podczas tych połączeń atakujący kierują ofiarą do zainstalowania programu zdalnego dostępu, uzyskując nieautoryzowany dostęp do ich systemów. Mając kontrolę nad tymi urządzeniami, aktorzy zagrożeń zbierają poufne informacje i wysyłają żądania wymuszenia, aby zapobiec wyciekowi danych lub ich sprzedaży innym cyberprzestępcom.

Od BazarCall do podszywania się pod IT

To ta sama ekipa, która stoi za poprzednimi kampaniami BazarCall , które rozprzestrzeniały ransomware, takie jak Cont i. Od czasu zamknięcia Conti, Luna Moth zintensyfikowała swoje wysiłki. Co ciekawe, od marca 2025 r. rozwinęli swoją strategię, dzwoniąc bezpośrednio do osób docelowych, podszywając się pod pracowników działu IT. To podejście manipuluje pracownikami, aby dołączyli do sesji zdalnego dostępu, często pod pozorem wykonywania nocnej konserwacji.

Narzędzia pracy: łączenie się z legalnym oprogramowaniem

Po uzyskaniu dostępu Luna Moth zwiększa uprawnienia i używa legalnych narzędzi do wykradania danych:

• Klonowanie
• WinSCP
• Pomoc Zoho
• Synchronizować
• JakikolwiekBiurko
• Kratka wodna
• Atera

Ponieważ są to prawdziwe narzędzia do zarządzania systemem i zdalnego dostępu, często unikają wykrycia przez narzędzia bezpieczeństwa. Jeśli naruszone urządzenie nie ma uprawnień administratora, WinSCP portable jest używany do wykradania skradzionych danych. Pomimo że jest to niedawna taktyka, okazała się niezwykle skuteczna, co doprowadziło do wielu udanych naruszeń.

Oznaki kłopotów: Wskaźniki ataku ćmy księżycowej

Pracownicy służb bezpieczeństwa cybernetycznego powinni zwracać uwagę na pewne sygnały ostrzegawcze:

• Nieoczekiwane e-maile lub wiadomości głosowe od nieznanej grupy, która twierdzi, że dokonała kradzieży danych.
• Wiadomości e-mail dotyczące odnowienia subskrypcji, wymagające połączenia telefonicznego w celu uniknięcia opłat.
• Niechciane połączenia telefoniczne od rzekomych pracowników IT nakłaniających do uzyskania zdalnego dostępu do Twojego urządzenia.
• Podejrzane połączenia nawiązywane poprzez WinSCP lub Rclone z zewnętrznymi adresami IP.

Ataki o wysokiej częstotliwości i podszywanie się pod helpdesk

Badania pokazują, że „szybko rozwijające się” kampanie phishingowe typu callback firmy Luna Moth koncentrują się na sektorach prawnym i finansowym w USA. Korzystają z platform takich jak Reamaze Helpdesk i innych programów do zdalnego pulpitu. Tylko w marcu 2025 r. firma Luna Moth zarejestrowała co najmniej 37 domen za pośrednictwem GoDaddy. Większość z tych domen podszywa się pod biura pomocy technicznej i portale wsparcia organizacji docelowych.

Te domeny o tematyce helpdesk zazwyczaj zaczynają się od nazwy docelowej firmy. Atakujący polegają na niewielkiej liczbie rejestratorów i dostawców serwerów nazw, przy czym domaincontrol.com jest najpowszechniejszy.

Bądźcie czujni!

Kampanie Luna Moth podkreślają krytyczną potrzebę czujności. Łącząc podstawowe narzędzia z inżynierią społeczną i podszywaniem się pod domenę, omijają wiele zabezpieczeń i narażają wrażliwe dane na ryzyko. Rozpoznanie ich taktyk to pierwszy krok do zachowania ochrony.