Luna Moth nätfiskeattack

Den amerikanska federala utredningsbyrån (FBI) har utfärdat en varning om social engineering-attacker som utförs av en grupp som heter Luna Moth. Denna kriminella utpressningsaktör har riktat in sig på advokatbyråer de senaste två åren och använt en blandning av nätfiskemejl och telefonbaserad social engineering för att stjäla känsliga uppgifter och kräva betalning.

Så fungerar de: Handboken för återuppringningsnätfiske

Luna Moth, även känd som Chatty Spider, Silent Ransom Group (SRG), Storm-0252 och UNC3753, har varit aktiv sedan åtminstone 2022. Den förlitar sig främst på en taktik som kallas callback phishing eller telefonorienterad attackleverans (TOAD). Dess phishing-mejl, som ser harmlösa ut och kretsar kring fakturor och prenumerationer, lurar mottagare att ringa ett telefonnummer för att "avbryta" en betalning eller prenumeration.

Under dessa samtal vägleder angriparna offret att installera ett fjärråtkomstprogram, vilket ger obehörig åtkomst till deras system. Med kontroll över dessa enheter samlar hotaktörerna in känslig information och följer upp med utpressningskrav för att förhindra att informationen läcks ut eller säljs till andra cyberbrottslingar.

Från BazarCall till IT-imitation

Det här är samma gäng som låg bakom tidigare BazarCall -kampanjer som spred ransomware som Cont i. Sedan Contis nedstängning har Luna Moth intensifierat sina ansträngningar. Det är värt att notera att de från och med mars 2025 har utvecklat sin strategi genom att ringa utvalda individer direkt och utge sig för att vara anställda på IT-avdelningen. Denna metod manipulerar anställda att delta i en fjärråtkomstsession, ofta under förevändning att de utför underhåll över natten.

Verktyg för handeln: Att smälta in med legitim programvara

När åtkomst beviljats eskalerar Luna Moth privilegier och använder legitima verktyg för att stjäla data:

• Rclone
• WinSCP
• Zoho Assist
• Synkronisering
• AnyDesk
• Stänkskydd
• Atera

Eftersom dessa är genuina verktyg för systemhantering och fjärråtkomst undgår de ofta upptäckt av säkerhetsverktyg. Om den komprometterade enheten saknar administratörsbehörighet används WinSCP portable för att smyga ut den stulna informationen. Trots att det är en ny taktik har den visat sig anmärkningsvärt effektiv och lett till flera framgångsrika komprometteringar.

Tecken på problem: Indikatorer på en Luna Moth-attack

Cybersäkerhetsoperatörer bör vara uppmärksamma på vissa varningssignaler:

• Oväntade e-postmeddelanden eller röstmeddelanden från en namnlös grupp som påstår datastöld.
• E-postmeddelanden angående prenumerationsförnyelser som kräver ett telefonsamtal för att undvika avgifter.
• Oombedda telefonsamtal från förmodad IT-personal som uppmanar till fjärråtkomst till din enhet.
• Misstänkta anslutningar gjorda via WinSCP eller Rclone till externa IP-adresser.

Högtempoattacker och helpdesk-förfalskning

Forskning visar att Luna Moths "högtempo" callback-phishingkampanjer fokuserar på den juridiska och finansiella sektorn i USA. De använder plattformar som Reamaze Helpdesk och annan programvara för fjärrskrivbord. Bara i mars 2025 registrerade Luna Moth minst 37 domäner via GoDaddy. De flesta av dessa domäner förfalskar riktade organisationers IT-helpdesks och supportportaler.

Dessa helpdesk-tema domäner börjar vanligtvis med namnet på det riktade företaget. Angriparna förlitar sig på ett litet antal registrarer och namnserverleverantörer, där domaincontrol.com är den vanligaste.

Var uppmärksam!

Luna Moths kampanjer belyser det kritiska behovet av vaksamhet. Genom att kombinera grundläggande verktyg med social ingenjörskonst och domänförfalskning kringgår de många försvar och utsätter känsliga uppgifter för risker. Att känna igen deras taktik är det första steget för att förbli skyddad.