Luna Moth Phishing Attack

Byroja Federale e Hetimeve (FBI) e SHBA-së ka lëshuar një paralajmërim në lidhje me sulmet e inxhinierisë sociale të nisura nga një grup i quajtur Luna Moth. Ky aktor kriminal i zhvatjes ka synuar firmat ligjore për dy vitet e fundit, duke përdorur një përzierje të emaileve phishing dhe inxhinierisë sociale të bazuar në telefon për të vjedhur të dhëna të ndjeshme dhe për të kërkuar pagesa.

Si Funksionojnë: Udhëzuesi i Phishing-ut për Thirrje të Kthyer

Luna Moth, e njohur edhe si Chatty Spider, Silent Ransom Group (SRG), Storm-0252 dhe UNC3753, ka qenë aktive që të paktën nga viti 2022. Ajo mbështetet kryesisht në një taktikë të quajtur callback phishing ose tel-oriented attack delivery (TOAD). Emailet e saj phishing, të cilat duken të padëmshme dhe sillen rreth faturave dhe abonimeve, i mashtrojnë marrësit që të telefonojnë një numër telefoni për të 'anuluar' një pagesë ose abonim.

Gjatë këtyre thirrjeve, sulmuesit e udhëzojnë viktimën të instalojë një program me akses në distancë, duke fituar akses të paautorizuar në sistemet e tyre. Me kontrollin e këtyre pajisjeve, aktorët kërcënues mbledhin informacione të ndjeshme dhe ndjekin kërkesat për zhvatje për të parandaluar rrjedhjen e të dhënave ose shitjen e tyre te kriminelë të tjerë kibernetikë.

Nga BazarCall te Imitimi i IT-së

Ky është i njëjti ekip që qëndron pas fushatave të mëparshme të BazarCall që përhapnin ransomware si Cont i. Që nga mbyllja e Conti, Luna Moth ka intensifikuar përpjekjet e tyre. Veçanërisht, që nga marsi 2025, ata kanë zhvilluar strategjinë e tyre duke telefonuar drejtpërdrejt individë të synuar, duke u paraqitur si punonjës të departamentit të IT-së. Kjo qasje i manipulon punonjësit që të bashkohen me një seancë aksesi në distancë, shpesh nën maskën e kryerjes së mirëmbajtjes gjatë natës.

Mjetet e Tregtisë: Përzierja me Softuerin Legjitim

Pasi të jepet qasja, Luna Moth përshkallëzon privilegjet dhe përdor mjete legjitime për të nxjerrë të dhëna:

• Rclone
• WinSCP
• Ndihma e Zoho-s
• Sinkronizim
• AnyDesk
• Splashtop
• Atera

Meqenëse këto janë mjete të vërteta për menaxhimin e sistemit dhe aksesin në distancë, ato shpesh i shmangen zbulimit nga mjetet e sigurisë. Nëse pajisja e kompromentuar nuk ka privilegje administratori, WinSCP portable përdoret për të nxjerrë fshehurazi të dhënat e vjedhura. Pavarësisht se është një taktikë e kohëve të fundit, ajo ka rezultuar jashtëzakonisht efektive, duke çuar në kompromise të shumta të suksesshme.

Shenjat e problemeve: Treguesit e një sulmi nga flutura e hënës

Operatorët e sigurisë kibernetike duhet të jenë të vëmendshëm ndaj disa sinjaleve të kuqe:

• Email-e ose mesazhe zanore të papritura nga një grup i paidentifikuar që pretendon vjedhje të dhënash.
• Email-e në lidhje me rinovimet e abonimeve që kërkojnë një telefonatë për të shmangur tarifat.
• Telefonata të pakërkuara nga të ashtuquajturit staf i IT-së që kërkojnë qasje në distancë në pajisjen tuaj.
• Lidhje të dyshimta të bëra nëpërmjet WinSCP ose Rclone me adresa IP të jashtme.

Sulme me Tempo të Lartë dhe Mashtrim i Ndihmës

Hulumtimet tregojnë se fushatat e phishing-ut me ritëm të lartë të Luna Moth përqendrohen në sektorët ligjorë dhe financiarë të SHBA-së. Ata po përdorin platforma si Reamaze Helpdesk dhe softuerë të tjerë për desktop në distancë. Vetëm në mars të vitit 2025, Luna Moth regjistroi të paktën 37 domene përmes GoDaddy. Shumica e këtyre domeneve falsifikojnë ndihmat e IT-së dhe portalet e mbështetjes të organizatave të synuara.

Këto domene me temë helpdesk zakonisht fillojnë me emrin e biznesit të synuar. Sulmuesit mbështeten në një numër të vogël regjistruesish dhe ofruesish të serverave të emrave, ku domaincontrol.com është më i zakonshmi.

Qëndroni vigjilentë!

Fushatat e Luna Moth nxjerrin në pah nevojën kritike për vigjilencë. Duke kombinuar mjetet themelore me inxhinierinë sociale dhe mashtrimin e domenit, ato anashkalojnë shumë mbrojtje dhe vënë në rrezik të dhëna të ndjeshme. Njohja e taktikave të tyre është hapi i parë për të qëndruar të mbrojtur.