Luna Moth Phishing Attack

Ang US Federal Bureau of Investigation (FBI) ay naglabas ng babala tungkol sa mga pag-atake sa social engineering na inilunsad ng isang grupo na tinatawag na Luna Moth. Ang kriminal na extortion aktor na ito ay nagta-target ng mga law firm sa nakalipas na dalawang taon, gamit ang pinaghalong phishing email at phone-based na social engineering para magnakaw ng sensitibong data at humingi ng bayad.

Paano Sila Gumagana: Ang Callback Phishing Playbook

Ang Luna Moth, na kilala rin bilang Chatty Spider, Silent Ransom Group (SRG), Storm-0252, at UNC3753, ay naging aktibo mula noong hindi bababa sa 2022. Pangunahing umaasa ito sa isang taktika na tinatawag na callback phishing o telephone-oriented attack delivery (TOAD). Ang mga phishing na email nito, na mukhang hindi nakakapinsala at umiikot sa mga invoice at subscription, nanlilinlang sa mga tatanggap sa pagtawag sa isang numero ng telepono upang 'kanselahin' ang isang pagbabayad o subscription.

Sa mga tawag na ito, ginagabayan ng mga umaatake ang biktima na mag-install ng remote access program, na nakakakuha ng hindi awtorisadong access sa kanilang mga system. Sa pamamagitan ng kontrol sa mga device na ito, ang mga banta ng aktor ay nangongolekta ng sensitibong impormasyon at nag-follow up sa mga kahilingan sa pangingikil upang maiwasan ang pag-leak o ibenta ng data sa iba pang mga cybercriminal.

Mula sa BazarCall hanggang sa IT Impersonation

Ito ang parehong crew sa likod ng mga nakaraang kampanya ng BazarCall na nagkakalat ng ransomware tulad ng Cont i. Mula nang isara ang Conti, pinaigting ng Luna Moth ang kanilang mga pagsisikap. Kapansin-pansin, noong Marso 2025, binago nila ang kanilang diskarte sa pamamagitan ng direktang pagtawag sa mga naka-target na indibidwal, na nagpapanggap bilang mga empleyado ng IT department. Ang diskarteng ito ay minamanipula ang mga empleyado sa pagsali sa isang remote access session, kadalasan sa ilalim ng pagkukunwari ng pagsasagawa ng magdamag na maintenance.

Tools of the Trade: Pagsasama sa Lehitimong Software

Kapag nabigyan na ng access, pinalalaki ng Luna Moth ang mga pribilehiyo at gumagamit ng mga lehitimong tool para i-exfiltrate ang data:

• Rclone
• WinSCP
• Zoho Assist
• Syncro
• AnyDesk
• Splashtop
• Atera

Dahil ang mga ito ay tunay na pamamahala ng system at mga tool sa malayuang pag-access, madalas nilang iniiwasan ang pagtuklas ng mga tool sa seguridad. Kung ang nakompromisong device ay walang mga pribilehiyo ng admin, ang WinSCP portable ay ginagamit upang i-sneak out ang ninakaw na data. Sa kabila ng pagiging isang kamakailang taktika, ito ay napatunayang lubos na epektibo, na humahantong sa maraming matagumpay na kompromiso.

Mga Palatandaan ng Problema: Mga Tagapahiwatig ng Pag-atake ng Luna Moth

Dapat bantayan ng mga operatiba ng cybersecurity ang ilang mga pulang bandila:

• Mga hindi inaasahang email o voicemail mula sa isang hindi pinangalanang pangkat na nagke-claim ng pagnanakaw ng data.
• Mga email tungkol sa mga pag-renew ng subscription na nangangailangan ng isang tawag sa telepono upang maiwasan ang mga singil.
• Mga hindi hinihinging tawag sa telepono mula sa dapat na kawani ng IT na humihimok ng malayuang pag-access sa iyong device.
• Mga kahina-hinalang koneksyon na ginawa sa pamamagitan ng WinSCP o Rclone sa mga panlabas na IP address.

Mga High-Tempo Attack at Helpdesk Spoofing

Ipinapakita ng pananaliksik na ang 'high-tempo' na callback phishing na mga kampanya ng Luna Moth ay nakatuon sa mga legal at pinansyal na sektor ng US Gumagamit sila ng mga platform tulad ng Reamaze Helpdesk at iba pang remote desktop software. Noong Marso 2025 lamang, nagparehistro si Luna Moth ng hindi bababa sa 37 domain sa pamamagitan ng GoDaddy. Karamihan sa mga domain na ito ay nangungurakot sa mga IT helpdesk at support portal ng mga naka-target na organisasyon.

Ang mga domain na ito na may temang helpdesk ay karaniwang nagsisimula sa pangalan ng naka-target na negosyo. Ang mga umaatake ay umaasa sa isang maliit na bilang ng mga registrar at nameserver provider, na ang domaincontrol.com ang pinakakaraniwan.

Manatiling Alerto!

Itinatampok ng mga kampanya ng Luna Moth ang kritikal na pangangailangan para sa pagbabantay. Sa pamamagitan ng paghahalo ng mga pangunahing tool sa social engineering at domain spoofing, nilalampasan nila ang maraming depensa at inilalagay sa peligro ang sensitibong data. Ang pagkilala sa kanilang mga taktika ay ang unang hakbang sa pananatiling protektado.