Napad lažnega predstavljanja Luna Moth
Ameriški Zvezni preiskovalni urad (FBI) je izdal opozorilo o napadih socialnega inženiringa, ki jih je izvedla skupina Luna Moth. Ta akter kriminalnega izsiljevanja že dve leti napada odvetniške pisarne in uporablja kombinacijo lažnih e-poštnih sporočil in socialnega inženiringa prek telefona za krajo občutljivih podatkov in zahtevanje plačila.
Kazalo
Kako delujejo: Priročnik za lažno predstavljanje povratnih klicev
Luna Moth, znana tudi kot Chatty Spider, Silent Ransom Group (SRG), Storm-0252 in UNC3753, je aktivna vsaj od leta 2022. Predvsem se zanaša na taktiko, imenovano phishing s povratnim klicem ali telefonsko usmerjeno napadalno dostavo (TOAD). Njena phishing e-poštna sporočila, ki so videti neškodljiva in se vrtijo okoli računov in naročnin, prejemnike zavedejo, da pokličejo telefonsko številko in »prekličejo« plačilo ali naročnino.
Med temi klici napadalci vodijo žrtev k namestitvi programa za oddaljeni dostop, s čimer pridobijo nepooblaščen dostop do svojih sistemov. Z nadzorom nad temi napravami akterji grožnje zbirajo občutljive podatke in nato z izsiljevalskimi zahtevami preprečijo uhajanje podatkov ali prodajo drugim kibernetskim kriminalcem.
Od BazarCall do IT poosebitve
To je ista ekipa, ki stoji za prejšnjimi kampanjami BazarCall , ki so širile izsiljevalsko programsko opremo, kot je Cont i. Od zaprtja podjetja Conti je Luna Moth okrepila svoja prizadevanja. Omeniti velja, da so od marca 2025 razvili svojo strategijo tako, da so ciljne posameznike klicali neposredno in se predstavljali kot zaposleni v IT oddelku. Ta pristop manipulira zaposlene, da se pridružijo seji oddaljenega dostopa, pogosto pod pretvezo, da izvajajo nočno vzdrževanje.
Orodja trgovine: Zlivanje z legitimno programsko opremo
Ko je dostop odobren, Luna Moth poveča privilegije in uporabi legitimna orodja za krajo podatkov:
- Kloniraj
- WinSCP
- Zoho Assist
- Sinhro
- AnyDesk
- Splashtop
- Atera
Ker gre za pristna orodja za upravljanje sistema in oddaljeni dostop, jih varnostna orodja pogosto ne zaznajo. Če ogrožena naprava nima skrbniških pravic, se za prikritje ukradenih podatkov uporabi prenosni WinSCP. Čeprav je to nedavna taktika, se je izkazala za izjemno učinkovito, kar je privedlo do številnih uspešnih vdorov.
Znaki težav: Kazalniki napada luninega moljca
Strokovnjaki za kibernetsko varnost morajo biti pozorni na določene opozorilne znake:
- Nepričakovana e-poštna ali glasovna sporočila neimenovane skupine, ki trdi, da gre za krajo podatkov.
- E-poštna sporočila v zvezi z obnovitvijo naročnin, ki zahtevajo telefonski klic, da se izognete stroškom.
- Neželeni telefonski klici domnevnih IT-strokovnjakov, ki vas pozivajo k oddaljenemu dostopu do vaše naprave.
- Sumljive povezave, vzpostavljene prek WinSCP ali Rclone, do zunanjih IP-naslovov.
Hitri napadi in lažno predstavljanje službe za pomoč uporabnikom
Raziskave kažejo, da se Luna Moth s svojimi »visokotemperaturnimi« phishing kampanjami s povratnimi klici osredotoča na pravni in finančni sektor ZDA. Uporabljajo platforme, kot je Reamaze Helpdesk in druga programska oprema za oddaljeno namizno delo. Samo marca 2025 je Luna Moth prek GoDaddyja registrirala vsaj 37 domen. Večina teh domen ponareja IT-službe za pomoč uporabnikom in podporne portale ciljnih organizacij.
Te domene s tematiko službe za pomoč uporabnikom se običajno začnejo z imenom ciljnega podjetja. Napadalci se zanašajo na majhno število registrarjev in ponudnikov imenskih strežnikov, pri čemer je domaincontrol.com najpogostejši.
Ostanite pozorni!
Kampanje Lune Moth poudarjajo ključno potrebo po budnosti. Z združevanjem temeljnih orodij s socialnim inženiringom in ponarejanjem domen zaobidejo številne obrambe in ogrožajo občutljive podatke. Prepoznavanje njihovih taktik je prvi korak k zaščiti.
