Phishingový útok Luna Moth

Americký Federálny úrad pre vyšetrovanie (FBI) vydal varovanie pred útokmi sociálneho inžinierstva, ktoré spustila skupina s názvom Luna Moth. Tento vydieračský aktér sa už dva roky zameriava na právnické firmy a využíva kombináciu phishingových e-mailov a sociálneho inžinierstva prostredníctvom telefónu na krádež citlivých údajov a požadovanie platby.

Ako fungujú: Príručka o spätnom volaní s phishingom

Luna Moth, známa aj ako Chatty Spider, Silent Ransom Group (SRG), Storm-0252 a UNC3753, je aktívna minimálne od roku 2022. Spolieha sa predovšetkým na taktiku nazývanú callback phishing alebo telefonicky orientované doručovanie útokov (TOAD). Jej phishingové e-maily, ktoré vyzerajú neškodne a točia sa okolo faktúr a predplatného, oklamú príjemcov, aby zavolali na telefónne číslo a „zrušili“ platbu alebo predplatné.

Počas týchto hovorov útočníci navedú obeť na inštaláciu programu na vzdialený prístup, čím získajú neoprávnený prístup k ich systémom. Vďaka kontrole nad týmito zariadeniami útočníci zhromažďujú citlivé informácie a následne na ne reagujú vydieraním, aby zabránili úniku údajov alebo ich predaju iným kyberzločincom.

Od BazarCallu k vydávaniu sa za IT manažéra

Ide o tú istú skupinu, ktorá stála za predchádzajúcimi kampaňami BazarCall , ktoré šírili ransomvér, ako napríklad Cont i. Od ukončenia činnosti spoločnosti Conti spoločnosť Luna Moth zintenzívnila svoje úsilie. Je pozoruhodné, že od marca 2025 vyvinula svoju stratégiu tak, že priamo volá cieleným osobám, ktoré sa vydávajú za zamestnancov IT oddelenia. Tento prístup manipuluje so zamestnancami, aby sa pripojili k relácii vzdialeného prístupu, často pod zámienkou vykonávania nočnej údržby.

Nástroje remesla: Splynutie s legitímnym softvérom

Po udelení prístupu Luna Moth zvyšuje privilégiá a používa legitímne nástroje na odcudzenie údajov:

• Klonovanie
• WinSCP
• Asistent Zoho
• Synchro
• AnyDesk
• Splashtop
• Atera

Keďže ide o skutočné nástroje na správu systému a vzdialený prístup, bezpečnostné nástroje ich často neodhalia. Ak napadnuté zariadenie nemá administrátorské oprávnenia, na ukradnutie ukradnutých údajov sa použije WinSCP portable. Napriek tomu, že ide o nedávnu taktiku, ukázala sa ako pozoruhodne účinná a viedla k viacerým úspešným kompromitáciám.

Znaky problémov: Indikátory útoku lunárnej mole

Pracovníci kybernetickej bezpečnosti by si mali dávať pozor na určité varovné signály:

• Neočakávané e-maily alebo hlasové správy od nemenovanej skupiny, ktorá tvrdí, že došlo ku krádeži údajov.
• E-maily týkajúce sa obnovenia predplatného, ktoré vyžadujú telefonický hovor, aby sa predišlo poplatkom.
• Nevyžiadané telefonáty od údajných IT pracovníkov, ktorí naliehajú na vzdialený prístup k vášmu zariadeniu.
• Podozrivé pripojenia vytvorené cez WinSCP alebo Rclone k externým IP adresám.

Útoky s vysokým tempom a falošné fungovanie helpdesku

Výskum ukazuje, že „vysokorychlostné“ phishingové kampane s callbackom od Luny Moth sa zameriavajú na právny a finančný sektor USA. Využívajú platformy ako Reamaze Helpdesk a ďalší softvér na vzdialenú pracovnú plochu. Len v marci 2025 Luna Moth zaregistrovala prostredníctvom GoDaddy najmenej 37 domén. Väčšina z týchto domén falšuje IT helpdesky a portály podpory cieľových organizácií.

Tieto domény s tematikou helpdesku zvyčajne začínajú názvom cieľovej firmy. Útočníci sa spoliehajú na malý počet registrátorov a poskytovateľov nameserverov, pričom domaincontrol.com je najbežnejší.

Zostaňte ostražití!

Kampane Luny Moth zdôrazňujú kritickú potrebu ostražitosti. Kombináciou základných nástrojov so sociálnym inžinierstvom a falšovaním domén obchádzajú mnohé obrany a ohrozujú citlivé údaje. Rozpoznanie ich taktík je prvým krokom k udržaniu ochrany.