Luna Moth 网络钓鱼攻击

美国联邦调查局 (FBI) 已发出警告，警惕一个名为“Luna Moth”的组织发起的社会工程攻击。该犯罪勒索组织过去两年一直以律师事务所为目标，使用钓鱼邮件和电话社会工程手段窃取敏感数据并索要赎金。

他们的运作方式：回调网络钓鱼策略

Luna Moth，又名 Chatty Spider、Silent Ransom Group (SRG)、Storm-0252 和 UNC3753，至少自 2022 年以来一直活跃。它主要依赖于一种称为回拨网络钓鱼或电话攻击传播 (TOAD) 的策略。它的网络钓鱼电子邮件看似无害，主要围绕发票和订阅，诱骗收件人拨打电话号码“取消”付款或订阅。

在这些通话中，攻击者会引导受害者安装远程访问程序，从而未经授权访问其系统。通过控制这些设备，威胁行为者收集敏感信息，并随后提出勒索要求，以防止数据泄露或出售给其他网络犯罪分子。

从 BazarCall 到 IT 模拟

这与之前传播Cont i 等勒索软件的BazarCall攻击活动的幕后黑手是同一伙人。自 Conti 被关闭以来，Luna Moth 的攻击活动愈演愈烈。值得注意的是，自 2025 年 3 月起，他们改进了攻击策略，冒充 IT 部门员工直接致电目标用户。这种方法通常会以夜间维护为幌子，诱骗员工加入远程访问会话。

行业工具：与合法软件混合

一旦获得访问权限，Luna Moth 就会提升权限并使用合法工具窃取数据：

• 克隆
• 温SCP
• Zoho 助手
• 同步
• AnyDesk
• Splashtop
• 阿特拉

由于这些是真正的系统管理和远程访问工具，它们通常可以逃避安全工具的检测。如果被入侵的设备缺乏管理员权限，WinSCP 便携式工具就会被用来窃取被盗数据。尽管这种策略最近才出现，但已被证明非常有效，并成功实施了多起入侵事件。

麻烦的迹象：月神蛾袭击的迹象

网络安全人员应注意以下危险信号：

• 收到来自未具名团体的意外电子邮件或语音邮件，声称数据被盗。
• 有关续订的电子邮件需要打电话以避免收费。
• 所谓的 IT 人员会主动打来电话，要求远程访问您的设备。
• 通过 WinSCP 或 Rclone 与外部 IP 地址建立可疑连接。

高频攻击和帮助台欺骗

研究表明，Luna Moth 的“高节奏”回调钓鱼活动主要针对美国的法律和金融领域。他们使用 Reamaze Helpdesk 等平台以及其他远程桌面软件。仅在 2025 年 3 月，Luna Moth 就通过 GoDaddy 注册了至少 37 个域名。这些域名大多用于欺骗目标组织的 IT 服务台和支持门户。

这些以服务台为主题的域名通常以目标企业的名称开头。攻击者依赖少数注册商和域名服务器提供商，其中最常见的是 domaincontrol.com。

保持警惕！

Luna Moth 的攻击活动凸显了保持警惕的迫切性。它们将基础工具与社会工程学和域名欺骗相结合，绕过了诸多防御措施，将敏感数据置于风险之中。识别他们的伎俩是保持安全状态的第一步。