Фишинг напад помоћу Луна Мољца
Амерички Федерални истражни биро (ФБИ) издао је упозорење о нападима друштвеним инжењерингом које је покренула група под називом Луна Мот. Овај криминални актер изнуде циља адвокатске канцеларије последње две године, користећи комбинацију фишинг имејлова и друштвеног инжењеринга заснованог на телефонским позивима како би украо осетљиве податке и захтевао плаћање.
Преглед садржаја
Како функционишу: Приручник за фишинг са повратним позивима
Луна Мољ, такође позната као Chatty Spider, Silent Ransom Group (SRG), Storm-0252 и UNC3753, активна је најмање од 2022. године. Првенствено се ослања на тактику која се зове callback phishing или телефонски оријентисани напад (TOAD). Њени фишинг имејлови, који изгледају безопасно и врте се око фактура и претплата, варају примаоце да позову број телефона како би „отказали“ плаћање или претплату.
Током ових позива, нападачи воде жртву да инсталира програм за удаљени приступ, добијајући неовлашћени приступ њиховим системима. Са контролом над овим уређајима, актери претње прикупљају осетљиве информације и затим надлежу са захтевима за изнуду како би спречили цурење података или продају другим сајбер криминалцима.
Од БазарКола до ИТ имитације
Ово је иста екипа која стоји иза претходних кампања БазарКола које су шириле ransomware попут Cont i. Од затварања Контија, Луна Мот је интензивирала своје напоре. Приметно је да су од марта 2025. године развили своју стратегију тако што директно позивају циљане појединце, представљајући се као запослени у ИТ одељењу. Овај приступ манипулише запосленима да се придруже сесији удаљеног приступа, често под маском обављања ноћног одржавања.
Алати заната: Уклапање са легитимним софтвером
Када се приступ одобри, Luna Moth повећава привилегије и користи легитимне алате за крађу података:
- Клонирање
- ВинСЦП
- Зохо помоћ
- Синкро
- AnyDesk
- Сплаштоп
- Атера
Пошто су ово прави алати за управљање системом и даљински приступ, они често избегавају откривање од стране безбедносних алата. Ако угроженом уређају недостају администраторска права, WinSCP portable се користи за крађу украдених података. Упркос томе што је то скорашња тактика, показала се изузетно ефикасном, што је довело до више успешних компромитовања.
Знаци проблема: Индикатори напада Луниног мољца
Службеници за сајбер безбедност треба да пазе на одређене упозоравајуће знаке:
- Неочекивани имејлови или гласовне поруке од неименоване групе која тврди да је украдена.
- Имејлови у вези са обнављањем претплате који захтевају телефонски позив да би се избегли трошкови.
- Нежељени телефонски позиви од наводног ИТ особља које захтева даљински приступ вашем уређају.
- Сумњиве везе успостављене путем WinSCP-а или Rclone-а ка спољним IP адресама.
Напади високог темпа и лажно представљање службе за помоћ
Истраживања показују да се „брзе“ фишинг кампање са повратним позивима компаније Луна Мот фокусирају на правни и финансијски сектор САД. Користе платформе попут Reamaze Helpdesk и другог софтвера за удаљену радну површину. Само у марту 2025. године, Луна Мот је регистровала најмање 37 домена преко GoDaddy-ја. Већина ових домена лажно представља ИТ службе за помоћ и портале за подршку циљаних организација.
Ови домени са темом службе за помоћ обично почињу именом циљаног предузећа. Нападачи се ослањају на мали број регистрара и добављача именског сервера, а domaincontrol.com је најчешћи.
Будите опрезни!
Кампање Луне Мот истичу критичну потребу за будношћу. Комбиновањем основних алата са друштвеним инжењерингом и лажним представљањем домена, оне заобилазе многе одбрамбене механизме и доводе осетљиве податке у опасност. Препознавање њихових тактика је први корак ка заштити.
