การโจมตีฟิชชิ่งด้วย Luna Moth

สำนักงานสอบสวนกลางแห่งสหรัฐอเมริกา (FBI) ได้ออกคำเตือนเกี่ยวกับการโจมตีโดยใช้กลวิธีทางสังคมที่กลุ่มที่เรียกว่า Luna Moth เป็นผู้ก่อขึ้น ซึ่งเป็นกลุ่มที่ทำการรีดไถเงินโดยใช้กลวิธีทางสังคมที่มุ่งเป้าไปที่บริษัทกฎหมายในช่วง 2 ปีที่ผ่านมา โดยใช้อีเมลฟิชชิ่งและกลวิธีทางสังคมทางโทรศัพท์เพื่อขโมยข้อมูลสำคัญและเรียกร้องการชำระเงิน

วิธีการดำเนินการ: คู่มือการฟิชชิ่งแบบเรียกกลับ

Luna Moth หรือที่รู้จักกันในชื่อ Chatty Spider, Silent Ransom Group (SRG), Storm-0252 และ UNC3753 เริ่มดำเนินการตั้งแต่ปี 2022 เป็นอย่างน้อย โดยส่วนใหญ่แล้วจะใช้กลวิธีที่เรียกว่าการฟิชชิ่งแบบเรียกกลับหรือการโจมตีทางโทรศัพท์ (TOAD) อีเมลฟิชชิ่งของ Luna Moth นั้นดูไม่เป็นอันตรายและเกี่ยวข้องกับใบแจ้งหนี้และการสมัครสมาชิก โดยหลอกล่อผู้รับให้โทรไปที่หมายเลขโทรศัพท์เพื่อ "ยกเลิก" การชำระเงินหรือการสมัครสมาชิก

ระหว่างการโทรดังกล่าว ผู้โจมตีจะชี้แนะเหยื่อให้ติดตั้งโปรแกรมการเข้าถึงระยะไกล ซึ่งทำให้เข้าถึงระบบโดยไม่ได้รับอนุญาต เมื่อควบคุมอุปกรณ์เหล่านี้ได้แล้ว ผู้คุกคามจะรวบรวมข้อมูลที่ละเอียดอ่อนและติดตามด้วยการเรียกร้องการกรรโชกเพื่อป้องกันไม่ให้ข้อมูลรั่วไหลหรือขายให้กับอาชญากรไซเบอร์รายอื่น

จาก BazarCall สู่การแอบอ้างตัวตนทาง IT

นี่คือทีมงานชุดเดียวกับที่อยู่เบื้องหลังแคมเปญ BazarCall ก่อนหน้านี้ที่แพร่กระจายแรนซัมแวร์เช่น Cont i นับตั้งแต่ Conti ปิดตัวลง Luna Moth ก็ได้เพิ่มความพยายามมากขึ้น โดยเฉพาะอย่างยิ่ง เมื่อเดือนมีนาคม 2025 พวกเขาได้พัฒนากลยุทธ์โดยโทรหาบุคคลเป้าหมายโดยตรงโดยแอบอ้างว่าเป็นพนักงานฝ่ายไอที วิธีนี้ทำให้พนักงานเข้าร่วมเซสชันการเข้าถึงระยะไกล โดยมักจะแอบอ้างว่าทำการบำรุงรักษาในช่วงกลางคืน

เครื่องมือของการค้า: การผสมผสานกับซอฟต์แวร์ที่ถูกกฎหมาย

เมื่อได้รับสิทธิ์การเข้าถึงแล้ว Luna Moth จะเพิ่มสิทธิพิเศษและใช้เครื่องมือที่ถูกต้องตามกฎหมายเพื่อขโมยข้อมูล:

• อาร์โคลน
• วินสซีพี
• โซโห แอสซิสท์
• ซิงโคร
• เอนี่เดสก์
• สแปลชท็อป
• อาเทร่า

เนื่องจากเป็นเครื่องมือจัดการระบบและการเข้าถึงระยะไกลที่แท้จริง จึงมักหลบเลี่ยงการตรวจจับของเครื่องมือรักษาความปลอดภัย หากอุปกรณ์ที่ถูกบุกรุกไม่มีสิทธิ์ผู้ดูแลระบบ WinSCP แบบพกพาจะถูกใช้เพื่อขโมยข้อมูลที่ถูกขโมยไป แม้ว่าจะถือเป็นกลวิธีใหม่ แต่ก็ได้รับการพิสูจน์แล้วว่ามีประสิทธิภาพอย่างน่าทึ่ง นำไปสู่การบุกรุกที่ประสบความสำเร็จหลายครั้ง

สัญญาณของปัญหา: ตัวบ่งชี้การโจมตีของผีเสื้อกลางคืน

เจ้าหน้าที่ด้านความปลอดภัยทางไซเบอร์ควรระวังสัญญาณเตือนบางประการ:

• อีเมลหรือข้อความเสียงที่ไม่คาดคิดจากกลุ่มที่ไม่ได้ระบุชื่อซึ่งอ้างว่ามีการขโมยข้อมูล
• อีเมลเกี่ยวกับการต่ออายุการสมัครสมาชิกที่ต้องโทรติดต่อเพื่อหลีกเลี่ยงการเรียกเก็บเงิน
• สายโทรศัพท์ที่ไม่ได้ร้องขอจากเจ้าหน้าที่ไอทีที่ต้องการขอเข้าถึงอุปกรณ์ของคุณจากระยะไกล
• การเชื่อมต่อที่น่าสงสัยที่ทำผ่าน WinSCP หรือ Rclone ไปยังที่อยู่ IP ภายนอก

การโจมตีด้วยความเร็วสูงและการปลอมแปลงแผนกช่วยเหลือ

การวิจัยพบว่าแคมเปญฟิชชิ่งแบบคอลแบ็กความเร็วสูงของ Luna Moth มุ่งเน้นไปที่ภาคกฎหมายและการเงินของสหรัฐอเมริกา โดยพวกเขาใช้แพลตฟอร์มเช่น Reamaze Helpdesk และซอฟต์แวร์เดสก์ท็อประยะไกลอื่นๆ ในเดือนมีนาคม 2025 เพียงเดือนเดียว Luna Moth ได้ลงทะเบียนโดเมนอย่างน้อย 37 โดเมนผ่าน GoDaddy โดยโดเมนเหล่านี้ส่วนใหญ่ปลอมแปลงเป็นแผนกช่วยเหลือด้านไอทีและพอร์ทัลสนับสนุนขององค์กรที่เป็นเป้าหมาย

โดเมนที่มีธีมเป็นแผนกช่วยเหลือเหล่านี้มักจะเริ่มต้นด้วยชื่อธุรกิจที่เป็นเป้าหมาย ผู้โจมตีอาศัยผู้ให้บริการจดทะเบียนและเนมเซิร์ฟเวอร์เพียงไม่กี่ราย โดย domaincontrol.com เป็นโดเมนที่พบบ่อยที่สุด

อยู่ให้ระวัง!

แคมเปญของ Luna Moth เน้นย้ำถึงความจำเป็นอย่างยิ่งในการเฝ้าระวัง โดยการผสมผสานเครื่องมือพื้นฐานกับวิศวกรรมสังคมและการปลอมแปลงโดเมน แคมเปญเหล่านี้สามารถหลีกเลี่ยงการป้องกันต่างๆ และทำให้ข้อมูลที่ละเอียดอ่อนตกอยู่ในความเสี่ยง การรับรู้กลวิธีของแคมเปญเหล่านี้ถือเป็นขั้นตอนแรกในการรักษาความปลอดภัย