Het US Federal Bureau of Investigation (FBI) heeft gewaarschuwd voor sociale engineeringaanvallen opgezet door een criminele afpersingsacteur die de afgelopen twee jaar gericht is op Luna Moth gericht op advocatenkantoren.
De campagne maakt gebruik van “informatietechnologie (IT) thema social engineering calls en callback phishing -e -mails, om externe toegang te krijgen tot systemen of apparaten en gevoelige gegevens te stelen om de slachtoffers af te persen”, zei de FBI in een advies.
Luna Moth, ook wel Cdty Spider, Silent Ransom Group (SRG), Storm-0252 en UNC3753 genoemd, is bekend dat het sinds minstens 2022 actief is, voornamelijk met een tactiek met een tactiek genaamd callback phishing of telefonische georiënteerde aanvalsaflevering (TOAD) om niet te verdrijven dat gebruikers worden vermeld om telefoonnummers te roepen die worden vermeld in de benoemde telefoontjes die in het look zijn dat in het lijken van de belachelijke e-mails in verband met investeringen in verband wordt gebracht in het belachelijken van de betaling van de beloning en subscriptie.
Het is de moeite waard om hier te vermelden dat Luna Moth verwijst naar dezelfde hackingploeg die eerder Bazarcall (aka Bazacall) campagnes heeft uitgevoerd om ransomware zoals Conti te implementeren. De dreigingsacteurs kwamen tot hun recht na de sluiting van het Conti -syndicaat.
In het bijzonder worden e -mailontvangers geïnstrueerd om een klantenondersteuningsnummer te bellen om hun premiumabonnement binnen 24 uur te annuleren om te voorkomen dat een betaling wordt opgelopen. In de loop van het telefoongesprek wordt het slachtoffer een link gemaild en begeleid om een extern toegangsprogramma te installeren, waardoor de dreigingsacteurs ongeautoriseerde toegang tot hun systemen krijgen.
Gewapend met de toegang, gaan de aanvallers over tot gevoelige informatie van de gevoelige informatie en sturen ze een afpersingsnoot naar het slachtoffer, eisen betaling om te voorkomen dat ze hun gestolen gegevens op een gelekte site hebben gepubliceerd of worden verkocht aan andere cybercriminelen.
De FBI zei dat de Luna Moth -acteurs vanaf maart 2025 hun tactiek hebben verplaatst door individuen van belangstelling te noemen en zich voor te stellen als werknemers van de IT -afdeling van hun bedrijf.
“SRG zal de werknemer vervolgens opdragen om deel te nemen aan een externe toegangssessie, hetzij via een e -mail die naar hen is verzonden, of naar een webpagina navigeren,” merkte het bureau op. “Zodra de werknemer toegang heeft tot zijn apparaat, wordt hen verteld dat er ’s nachts werk moet worden gedaan.”
De dreigingsacteurs zijn, na het verkrijgen van toegang tot het apparaat van het slachtoffer, gebleken om privileges te escaleren en legitieme tools zoals RCLone of WinSCP te benutten om gegevens -exfiltratie te vergemakkelijken.
Het gebruik van echt systeembeheer of externe toegangstools zoals Zoho Assist, Syncro, Anydesk, Splashtop of Atera om de aanvallen uit te voeren, betekent dat het onwaarschijnlijk is dat ze worden gemarkeerd door beveiligingshulpmiddelen die op de systemen zijn geïnstalleerd.
“Als het gecompromitteerde apparaat geen administratieve privileges heeft, wordt WINSCP Portable gebruikt om slachtoffersgegevens te exfiltreren,” voegde de FBI toe. “Hoewel deze tactiek pas recent is waargenomen, is deze zeer effectief geweest en resulteerde in meerdere compromissen.”
Verdedigers worden aangespoord om op zoek te zijn naar WINSCP- of RCLone -verbindingen die worden gemaakt met externe IP -adressen, e -mails of voicemails van een niet nader genoemde groep die beweerde dat gegevens zijn gestolen, e -mails met betrekking tot abonnementsservices die een telefoonnummer bieden en een oproep vereisen om een hangende vernieuwingskosten te verwijderen, en onopvallende telefoontjes van personen die beweren dat ze in hun IT -afdelingen worden geëist.
De openbaarmaking volgt op een rapport van Eclecticiq met details over de “high-tempo” callback-campagnes van Luna Moth gericht op Amerikaanse juridische en financiële sectoren met behulp van Reamaze Helpdesk en andere externe desktopsoftware.
Volgens het Nederlandse Cybersecurity Company werden in maart ten minste 37 domeinen geregistreerd door de dreigingsacteur via GoDaddy, waarvan de meeste de IT -helpdesk- en ondersteunende portals van de beoogde organisaties vervalsten.
“Luna Moth gebruikt voornamelijk Domains met helpdesk-thema, meestal beginnend met de naam van het bedrijf dat het doelwit is, bijv. Vorys-Helpdesk (.) Com,” Silent Push zei in een reeks berichten op X. “De acteurs gebruiken een relatief klein bereik van registrars.
