Tấn công lừa đảo Luna Moth
Cục Điều tra Liên bang Hoa Kỳ (FBI) đã đưa ra cảnh báo về các cuộc tấn công kỹ thuật xã hội do một nhóm có tên là Luna Moth thực hiện. Nhóm tống tiền tội phạm này đã nhắm vào các công ty luật trong hai năm qua, sử dụng sự kết hợp giữa email lừa đảo và kỹ thuật xã hội qua điện thoại để đánh cắp dữ liệu nhạy cảm và yêu cầu thanh toán.
Mục lục
Cách chúng hoạt động: Sổ tay lừa đảo gọi lại
Luna Moth, còn được gọi là Chatty Spider, Silent Ransom Group (SRG), Storm-0252 và UNC3753, đã hoạt động ít nhất từ năm 2022. Nó chủ yếu dựa vào một chiến thuật gọi là lừa đảo qua điện thoại hoặc tấn công theo hướng điện thoại (TOAD). Các email lừa đảo của nó, trông có vẻ vô hại và xoay quanh các hóa đơn và đăng ký, lừa người nhận gọi đến một số điện thoại để 'hủy' thanh toán hoặc đăng ký.
Trong những cuộc gọi này, kẻ tấn công hướng dẫn nạn nhân cài đặt chương trình truy cập từ xa, giành quyền truy cập trái phép vào hệ thống của họ. Với quyền kiểm soát các thiết bị này, kẻ tấn công thu thập thông tin nhạy cảm và theo dõi các yêu cầu tống tiền để ngăn dữ liệu bị rò rỉ hoặc bán cho tội phạm mạng khác.
Từ BazarCall đến Mạo danh CNTT
Đây là cùng một nhóm đứng sau các chiến dịch BazarCall trước đây đã phát tán ransomware như Cont i. Kể từ khi Conti ngừng hoạt động, Luna Moth đã tăng cường nỗ lực của họ. Đáng chú ý, tính đến tháng 3 năm 2025, họ đã phát triển chiến lược của mình bằng cách gọi trực tiếp cho những cá nhân bị nhắm mục tiêu, đóng giả là nhân viên phòng CNTT. Cách tiếp cận này thao túng nhân viên tham gia phiên truy cập từ xa, thường dưới vỏ bọc là thực hiện bảo trì qua đêm.
Công cụ của nghề: Pha trộn với phần mềm hợp pháp
Sau khi được cấp quyền truy cập, Luna Moth sẽ nâng cao đặc quyền và sử dụng các công cụ hợp pháp để đánh cắp dữ liệu:
- Nhân bản
- WinSCP
- Trợ lý Zoho
- Đồng bộ
- Bất kỳ máy tính nào
- Nước bắn tung tóe
- Atera
Vì đây là các công cụ quản lý hệ thống và truy cập từ xa chính hãng, chúng thường tránh được sự phát hiện của các công cụ bảo mật. Nếu thiết bị bị xâm phạm không có quyền quản trị, WinSCP portable được sử dụng để lén lút lấy dữ liệu bị đánh cắp. Mặc dù là một chiến thuật mới, nhưng nó đã chứng minh được hiệu quả đáng kể, dẫn đến nhiều lần xâm phạm thành công.
Dấu hiệu của sự cố: Các chỉ số về cuộc tấn công của bướm đêm Luna
Các nhân viên an ninh mạng nên chú ý một số dấu hiệu cảnh báo sau:
- Email hoặc thư thoại bất ngờ từ một nhóm không tên tuyên bố đánh cắp dữ liệu.
- Email liên quan đến việc gia hạn đăng ký yêu cầu phải gọi điện thoại để tránh mất phí.
- Cuộc gọi điện thoại không mong muốn từ nhân viên CNTT yêu cầu truy cập từ xa vào thiết bị của bạn.
- Kết nối đáng ngờ được thực hiện thông qua WinSCP hoặc Rclone tới các địa chỉ IP bên ngoài.
Các cuộc tấn công nhịp độ cao và lừa đảo bộ phận trợ giúp
Nghiên cứu cho thấy các chiến dịch lừa đảo gọi lại 'nhịp độ cao' của Luna Moth tập trung vào các lĩnh vực pháp lý và tài chính của Hoa Kỳ. Họ đang sử dụng các nền tảng như Reamaze Helpdesk và các phần mềm máy tính từ xa khác. Chỉ tính riêng trong tháng 3 năm 2025, Luna Moth đã đăng ký ít nhất 37 tên miền thông qua GoDaddy. Hầu hết các tên miền này đều giả mạo các cổng thông tin hỗ trợ và bộ phận trợ giúp CNTT của các tổ chức mục tiêu.
Những tên miền theo chủ đề helpdesk này thường bắt đầu bằng tên của doanh nghiệp mục tiêu. Những kẻ tấn công dựa vào một số ít nhà đăng ký và nhà cung cấp máy chủ tên, trong đó domaincontrol.com là phổ biến nhất.
Hãy luôn cảnh giác!
Các chiến dịch của Luna Moth nhấn mạnh nhu cầu cấp thiết về sự cảnh giác. Bằng cách kết hợp các công cụ cơ bản với kỹ thuật xã hội và giả mạo tên miền, chúng bỏ qua nhiều biện pháp phòng thủ và khiến dữ liệu nhạy cảm gặp rủi ro. Nhận ra chiến thuật của chúng là bước đầu tiên để được bảo vệ.
