Фишинговая атака Luna Moth

Федеральное бюро расследований США (ФБР) выпустило предупреждение об атаках с использованием социальной инженерии, проводимых группой под названием Luna Moth. Этот преступник-вымогатель нацелился на юридические фирмы в течение последних двух лет, используя комбинацию фишинговых писем и телефонной социальной инженерии для кражи конфиденциальных данных и требования оплаты.

Как они работают: руководство по фишинговым звонкам

Luna Moth, также известная как Chatty Spider, Silent Ransom Group (SRG), Storm-0252 и UNC3753, активна как минимум с 2022 года. Она в основном полагается на тактику, называемую фишинг обратного вызова или телефонно-ориентированную атаку (TOAD). Ее фишинговые письма, которые выглядят безобидными и вращаются вокруг счетов и подписок, обманывают получателей, заставляя их звонить по номеру телефона, чтобы «отменить» платеж или подписку.

Во время этих звонков злоумышленники побуждают жертву установить программу удаленного доступа, получая несанкционированный доступ к своим системам. Управляя этими устройствами, злоумышленники собирают конфиденциальную информацию и выдвигают вымогательские требования, чтобы предотвратить утечку данных или их продажу другим киберпреступникам.

От BazarCall до ИТ-имитации

Это та же команда, которая стояла за предыдущими кампаниями BazarCall , которые распространяли вирусы-вымогатели, такие как Cont i. После закрытия Conti Luna Moth активизировала свои усилия. Примечательно, что с марта 2025 года они усовершенствовали свою стратегию, звоня целевым лицам напрямую, выдавая себя за сотрудников ИТ-отдела. Этот подход манипулирует сотрудниками, чтобы они присоединились к сеансу удаленного доступа, часто под видом выполнения ночного обслуживания.

Инструменты для торговли: слияние с легитимным программным обеспечением

После предоставления доступа Luna Moth повышает привилегии и использует законные инструменты для извлечения данных:

• Rclone
• WinSCP
• Zoho Assist
• Синхронный
• AnyDesk
• Сплэштоп
• Атера

Поскольку это подлинные инструменты управления системой и удаленного доступа, они часто избегают обнаружения средствами безопасности. Если скомпрометированное устройство не имеет прав администратора, WinSCP portable используется для выноса украденных данных. Несмотря на то, что это недавняя тактика, она оказалась чрезвычайно эффективной, что привело к многочисленным успешным компрометациям.

Признаки беды: индикаторы атаки лунного мотылька

Специалистам по кибербезопасности следует обращать внимание на определенные тревожные сигналы:

• Неожиданные электронные письма или голосовые сообщения от неназванной группы, утверждающие о краже данных.
• Электронные письма о продлении подписки, требующие телефонного звонка для избежания расходов.
• Непрошеные телефонные звонки от якобы ИТ-персонала с просьбами предоставить удаленный доступ к вашему устройству.
• Подозрительные подключения через WinSCP или Rclone к внешним IP-адресам.

Атаки с высокой скоростью и подделка службы поддержки

Исследования показывают, что «быстрые» фишинговые кампании обратного вызова Luna Moth сосредоточены на юридическом и финансовом секторах США. Они используют такие платформы, как Reamaze Helpdesk и другое программное обеспечение для удаленного рабочего стола. Только в марте 2025 года Luna Moth зарегистрировала не менее 37 доменов через GoDaddy. Большинство из этих доменов подделывают службы ИТ-поддержки и порталы поддержки целевых организаций.

Эти домены в стиле helpdesk обычно начинаются с названия целевого бизнеса. Злоумышленники полагаются на небольшое количество регистраторов и поставщиков серверов имен, среди которых наиболее распространенным является domaincontrol.com.

Будьте бдительны!

Кампании Luna Moth подчеркивают критическую необходимость бдительности. Сочетая фундаментальные инструменты с социальной инженерией и подменой доменов, они обходят множество защит и подвергают риску конфиденциальные данные. Распознавание их тактики — первый шаг к защите.