Američki Federalni istražni biro (FBI) upozorio je na napade socijalnog inženjeringa koje je u protekle dvije godine izveo kriminalac poznat kao Luna Moth, a koji je ciljao advokatske firme.
FBI je u savjetodavnom upozorenju naveo da kampanja koristi “pozive socijalnog inženjeringa s temom informacionih tehnologija (IT) i phishing e-poruke s povratnim pozivima kako bi se dobio udaljeni pristup sistemima ili uređajima i ukrali osjetljivi podaci radi iznude od žrtava”.
Luna Moth, takođe poznat kao Chatty Spider, Silent Ransom Group (SRG), Storm-0252 i UNC3753, poznat je po tome što je aktivan najmanje od 2022. godine , prvenstveno koristeći taktiku pod nazivom callback phishing ili telefonski orijentisani napad (TOAD) kako bi prevario nesuđene korisnike da pozovu brojeve telefona navedene u benignim phishing e-porukama koje se odnose na fakture i plaćanja pretplata.
Vrijedi spomenuti da se Luna Moth odnosi na istu hakersku ekipu koja je prethodno provodila BazarCall (poznat i kao BazaCall) kampanje za implementaciju ransomwarea poput Contija . Hakeri su došli do izražaja nakon zatvaranja Conti sindikata.
Konkretno, primaoci e-pošte dobijaju instrukcije da pozovu broj za korisničku podršku kako bi otkazali svoju premium pretplatu u roku od 24 sata kako bi izbjegli plaćanje. Tokom telefonskog razgovora, žrtvi se šalje e-poštom link i upute za instaliranje programa za udaljeni pristup, što hakeri daje neovlašteni pristup njihovim sistemima.
Naoružani tim pristupom, napadači nastavljaju s krađom osjetljivih informacija i šalju žrtvi poruku s zahtjevom za otkupninu, tražeći otkupninu kako bi izbjegli objavljivanje ukradenih podataka na procurilim stranicama ili prodaju drugim cyberkriminalcima.
FBI je saopštio da su hakeri iz Luna Motha od marta 2025. godine promijenili taktiku tako što pozivaju pojedince od interesa i predstavljaju se kao zaposleni iz IT odjela svoje kompanije.
„SRG će zatim uputiti zaposlenika da se pridruži sesiji udaljenog pristupa, bilo putem e-maila koji im je poslan, ili navigacijom na web stranicu“, napomenula je agencija. „Nakon što zaposlenik odobri pristup svom uređaju, bit će obaviješten da posao treba obaviti preko noći.“
Otkriveno je da hakeri, nakon što dobiju pristup uređaju žrtve, povećavaju privilegije i koriste legitimne alate poput Rclone-a ili WinSCP-a kako bi olakšali krađu podataka.
Korištenje originalnih alata za upravljanje sistemom ili udaljeni pristup kao što su Zoho Assist, Syncro, AnyDesk, Splashtop ili Atera za izvođenje napada znači da je malo vjerovatno da će ih sigurnosni alati instalirani na sistemima prepoznati.
„Ako kompromitovani uređaj nema administratorske privilegije, WinSCP portable se koristi za krađu podataka žrtve“, dodao je FBI. „Iako je ova taktika tek nedavno uočena, pokazala se vrlo učinkovitom i rezultuje višestrukim kompromitacijama.“
Branioci se savjetuje da obrate pažnju na WinSCP ili Rclone veze uspostavljene prema vanjskim IP adresama, e-poruke ili govorne poruke od neimenovane grupe koja tvrdi da su podaci ukradeni, e-poruke u vezi s pretplatničkim uslugama koje navode telefonski broj i zahtijevaju poziv radi uklanjanja neriješenih troškova obnove, te neželjene telefonske pozive od pojedinaca koji tvrde da rade u njihovim IT odjelima.
Ovo otkriće slijedi nakon izvještaja EclecticIQ-a u kojem se detaljno opisuju Luna Moth-ove “brze” phishing kampanje s povratnim pozivima usmjerene na američki pravni i finansijski sektor koristeći Reamaze Helpdesk i drugi softver za udaljenu radnu površinu.
Prema navodima holandske kompanije za cyber sigurnost, napadač je u martu registrovao najmanje 37 domena putem GoDaddy-ja, od kojih je većina lažirala IT korisničku podršku i portale za podršku ciljanih organizacija.
„Luna Moth prvenstveno koristi domene s temom službe za korisnike, koje obično počinju imenom ciljane kompanije, npr. vorys-helpdesk[.]com“, rekao je Silent Push u seriji objava na X-u. „Akteri koriste relativno mali raspon registratora. Čini se da hakeri koriste ograničen raspon provajdera nameservera, pri čemu je domaincontrol[.]com najčešći.“
Izvor:The Hacker News
