Фішингова атака Luna Moth
Федеральне бюро розслідувань США (ФБР) опублікувало попередження про атаки соціальної інженерії, здійснені групою під назвою Luna Moth. Цей злочинець-вимагач протягом останніх двох років атакував юридичні фірми, використовуючи поєднання фішингових електронних листів та соціальної інженерії на основі телефонних розсилок для крадіжки конфіденційних даних та вимоги оплати.
Зміст
Як вони працюють: Посібник з фішингу зворотних дзвінків
Luna Moth, також відома як Chatty Spider, Silent Ransom Group (SRG), Storm-0252 та UNC3753, активна щонайменше з 2022 року. Вона в основному використовує тактику, що називається фішингом зворотних дзвінків або телефонно-орієнтованою атакою (TOAD). Її фішингові електронні листи, які виглядають нешкідливими та обертаються навколо рахунків-фактур та підписок, обманом змушують одержувачів зателефонувати за номером телефону, щоб «скасувати» платіж або підписку.
Під час цих дзвінків зловмисники направляють жертву до встановлення програми віддаленого доступу, отримуючи несанкціонований доступ до її систем. Контролюючи ці пристрої, зловмисники збирають конфіденційну інформацію та висувають вимоги з метою вимагання, щоб запобігти витоку даних або їх продажу іншим кіберзлочинцям.
Від BazarCall до імітації ІТ-підробки
Це та сама команда, яка стояла за попередніми кампаніями BazarCall , що поширювали програми-вимагачі, такі як Cont i. Після закриття Conti, Luna Moth активізувала свої зусилля. Примітно, що з березня 2025 року вони вдосконалили свою стратегію, телефонуючи цільовим особам безпосередньо, видаючи себе за співробітників ІТ-відділу. Такий підхід маніпулює співробітниками, змушуючи їх приєднатися до сеансу віддаленого доступу, часто під приводом виконання нічного технічного обслуговування.
Інструменти професії: поєднання з легітимним програмним забезпеченням
Після надання доступу Luna Moth підвищує привілеї та використовує легітимні інструменти для вилучення даних:
- Клон
- WinSCP
- Допомога Zoho
- Синхронізація
- Будь-який стіл
- Сплештоп
- Атера
Оскільки це справжні інструменти для керування системою та віддаленого доступу, вони часто залишаються непоміченими засобами безпеки. Якщо скомпрометований пристрій не має прав адміністратора, для крадіжки викрадених даних використовується WinSCP portable. Незважаючи на те, що це нещодавня тактика, вона виявилася надзвичайно ефективною, що призвело до численних успішних компрометацій.
Ознаки неприємностей: показники нападу місячної молі
Фахівці з кібербезпеки повинні звертати увагу на певні тривожні сигнали:
- Неочікувані електронні листи або голосові повідомлення від неназваної групи, яка стверджує про крадіжку даних.
- Електронні листи щодо поновлення підписки, для яких потрібно зателефонувати, щоб уникнути стягнення плати.
- Небажані телефонні дзвінки від нібито ІТ-персоналів, які наполягають на віддаленому доступі до вашого пристрою.
- Підозрілі підключення, здійснені через WinSCP або Rclone, до зовнішніх IP-адрес.
Швидкісні атаки та підміна служби підтримки
Дослідження показують, що «високотемпові» фішингові кампанії зворотних викликів Luna Moth зосереджені на юридичному та фінансовому секторах США. Вони використовують такі платформи, як Reamaze Helpdesk та інше програмне забезпечення для віддаленого робочого столу. Тільки у березні 2025 року Luna Moth зареєструвала щонайменше 37 доменів через GoDaddy. Більшість цих доменів підробляють служби підтримки та портали ІТ-служб цільових організацій.
Ці домени, оформлені в стилі служби підтримки, зазвичай починаються з назви компанії, на яку спрямована атака. Зловмисники покладаються на невелику кількість реєстраторів та постачальників серверів імен, найпоширенішим з яких є domaincontrol.com.
Будьте пильні!
Кампанії Luna Moth підкреслюють критичну необхідність пильності. Поєднуючи фундаментальні інструменти із соціальною інженерією та підробкою домену, вони обходять багато захисних механізмів та ставлять під загрозу конфіденційні дані. Розпізнавання їхньої тактики – це перший крок до захисту.
