Luna Moth 網路釣魚攻擊

美國聯邦調查局（FBI）對一個名為Luna Moth的組織發起的社會工程攻擊發出警告。過去兩年來，這名敲詐勒索犯罪分子一直將律師事務所作為攻擊目標，使用釣魚電子郵件和電話社交工程等手段竊取敏感資料並索取付款。

他們的運作方式：回調網路釣魚策略

Luna Moth，也稱為 Chatty Spider、Silent Ransom Group (SRG)、Storm-0252 和 UNC3753，至少自 2022 年以來一直活躍。它主要依賴一種稱為回調網路釣魚或電話攻擊傳遞 (TOAD) 的策略。其網路釣魚電子郵件看似無害，圍繞著發票和訂閱展開，誘騙收件者撥打電話號碼來「取消」付款或訂閱。

在這些通話中，攻擊者引導受害者安裝遠端存取程序，從而獲得對其係統的未經授權的存取。透過控制這些設備，威脅行為者收集敏感資訊並提出勒索要求，以防止資料外洩或出售給其他網路犯罪分子。

從 BazarCall 到 IT 模擬

這與先前傳播Cont i 等勒索軟體的BazarCall活動背後的團隊是同一個團隊。自從 Conti 關閉以來，Luna Moth 就加大了力度。值得注意的是，截至 2025 年 3 月，他們已經改進了策略，直接致電目標個人，並冒充 IT 部門員工。這種方法會操縱員工加入遠端存取會話，通常是以進行夜間維護為幌子。

產業工具：與合法軟體混合

一旦獲得存取權限，Luna Moth 就會提升權限並使用合法工具竊取資料：

• 複製
• 溫SCP
• Zoho 助手
• 同步
• AnyDesk
• Splashtop
• 阿特拉

由於這些是真正的系統管理和遠端存取工具，因此它們通常可以逃避安全工具的偵測。如果受感染的裝置缺乏管理員權限，則可以使用 WinSCP 便攜式工具來偷偷取得被盜資料。儘管這是一種新近出現的策略，但它已被證明非常有效，並導致多次成功的攻擊。

麻煩的跡象：月神蛾襲擊的跡象

網路安全人員應注意以下危險訊號：

• 收到未具名團體的意外電子郵件或語音郵件，聲稱資料被盜。
• 有關續訂的電子郵件需要打電話以避免收費。
• 所謂的 IT 人員會主動打來電話，要求遠端存取您的裝置。
• 透過 WinSCP 或 Rclone 與外部 IP 位址建立可疑連線。

高頻攻擊和幫助台欺騙

研究表明，Luna Moth 的「高節奏」回調網路釣魚活動主要針對美國的法律和金融部門，他們使用 Reamaze Helpdesk 等平台和其他遠端桌面軟體。光是 2025 年 3 月，Luna Moth 就透過 GoDaddy 註冊了至少 37 個網域。這些網域大多偽裝成目標組織的 IT 幫助台和支援入口網站。

這些以幫助台為主題的網域通常以目標企業的名稱開頭。攻擊者依賴少數註冊商和名稱伺服器供應商，其中最常見的是 domaincontrol.com。

保持警惕！

Luna Moth 的活動凸顯了警覺的迫切需求。透過將基本工具與社會工程和域名欺騙相結合，他們繞過了許多防禦措施並將敏感數據置於危險之中。識別他們的策略是保持安全的第一步。