Luna Moth Kimlik Avı Saldırısı
ABD Federal Soruşturma Bürosu (FBI), Luna Moth adlı bir grup tarafından başlatılan sosyal mühendislik saldırıları hakkında bir uyarı yayınladı. Bu suçlu gaspçı aktör, hassas verileri çalmak ve ödeme talep etmek için kimlik avı e-postaları ve telefon tabanlı sosyal mühendisliğin bir karışımını kullanarak son iki yıldır hukuk firmalarını hedef alıyor.
İçindekiler
Nasıl Çalışırlar: Geri Arama Kimlik Avı Kılavuzu
Luna Moth, Chatty Spider, Silent Ransom Group (SRG), Storm-0252 ve UNC3753 olarak da bilinir ve en az 2022'den beri aktiftir. Öncelikle geri arama kimlik avı veya telefon odaklı saldırı teslimi (TOAD) adı verilen bir taktiğe güvenir. Zararsız görünen ve faturalar ve abonelikler etrafında dönen kimlik avı e-postaları, alıcıları bir ödemeyi veya aboneliği 'iptal etmek' için bir telefon numarasını aramaya kandırır.
Bu çağrılar sırasında saldırganlar kurbanı uzaktan erişim programı yüklemeye yönlendirir ve sistemlerine yetkisiz erişim sağlar. Bu cihazların kontrolüyle, tehdit aktörleri hassas bilgileri toplar ve verilerin sızdırılmasını veya diğer siber suçlulara satılmasını önlemek için gasp talepleriyle takip eder.
BazarCall’dan BT Taklitçiliğine
Bu, Cont i gibi fidye yazılımları yayan önceki BazarCall kampanyalarının arkasındaki ekiptir. Conti'nin kapanmasından bu yana Luna Moth çabalarını yoğunlaştırdı. Özellikle Mart 2025 itibarıyla, hedeflenen kişileri doğrudan arayarak ve BT departmanı çalışanları gibi davranarak stratejilerini geliştirdiler. Bu yaklaşım, çalışanları genellikle gecelik bakım yapma bahanesiyle uzaktan erişim oturumuna katılmaya yönlendirir.
Mesleğin Araçları: Meşru Yazılımla Uyum Sağlama
Erişim izni verildiğinde, Luna Moth ayrıcalıkları artırır ve verileri sızdırmak için meşru araçları kullanır:
- Rklon
- WinSCP
- Zoho Yardım
- Senkronizasyon
- Herhangi birMasa
- Sıçrama üstü
- Atera
Bunlar gerçek sistem yönetimi ve uzaktan erişim araçları olduğundan, güvenlik araçları tarafından sıklıkla tespit edilemezler. Tehlikeye atılan cihaz yönetici ayrıcalıklarına sahip değilse, çalınan verileri gizlice dışarı çıkarmak için taşınabilir WinSCP kullanılır. Yeni bir taktik olmasına rağmen, çok sayıda başarılı tehlikeye yol açarak oldukça etkili olduğu kanıtlanmıştır.
Sorun Belirtileri: Ay Güvesi Saldırısının Göstergeleri
Siber güvenlik görevlileri şu uyarılara dikkat etmelidir:
- İsimsiz bir gruptan gelen, veri hırsızlığı iddiasını içeren beklenmedik e-postalar veya sesli mesajlar.
- Ücret ödememek için telefon görüşmesi gerektiren abonelik yenilemelerine ilişkin e-postalar.
- Sözde BT personelinden gelen ve cihazınıza uzaktan erişim talebinde bulunan istenmeyen telefon aramaları.
- WinSCP veya Rclone üzerinden harici IP adreslerine yapılan şüpheli bağlantılar.
Yüksek Tempolu Saldırılar ve Yardım Masası Sahteciliği
Araştırmalar, Luna Moth'un 'yüksek tempolu' geri arama kimlik avı kampanyalarının ABD'nin hukuk ve finans sektörlerine odaklandığını gösteriyor. Reamaze Helpdesk ve diğer uzak masaüstü yazılımları gibi platformları kullanıyorlar. Sadece Mart 2025'te Luna Moth, GoDaddy aracılığıyla en az 37 alan adı kaydetti. Bu alan adlarının çoğu, hedeflenen kuruluşların BT yardım masalarını ve destek portallarını taklit ediyor.
Bu yardım masası temalı alan adları genellikle hedeflenen işletmenin adıyla başlar. Saldırganlar az sayıda kayıt kuruluşuna ve ad sunucusu sağlayıcısına güvenir, domaincontrol.com en yaygın olanıdır.
Dikkatli Olun!
Luna Moth'un kampanyaları, dikkatli olmanın kritik ihtiyacını vurgular. Temel araçları sosyal mühendislik ve alan adı sahteciliğiyle harmanlayarak, birçok savunmayı aşar ve hassas verileri riske atarlar. Taktiklerini tanımak, korunmanın ilk adımıdır.
