Callback phishing kampány amerikai szervezetek ellen
Az EclecticIQ elemzői megfigyelték, hogy 2025 márciusától a pénzügyi motivációjú Luna Moth (más néven Silent Ransom Group, UNC3753 és Storm-0252) kiberszereplő nagy valószínűséggel nagy volumenű callback adathalász kampányokat folytat jogi és pénzügyi szervezetek ellen az Egyesült Államokban. A Luna Moth kampányok jellemzően adathalász e-mailekkel kezdődnek, amelyek hamis ügyfélszolgálati számok hívására csábítják az áldozatokat. Miután felvették a kapcsolatot, az informatikai személyzetnek álcázott humán operátorok megtévesztik az áldozatokat, hogy távfelügyeleti és távmenedzsment (RMM) eszközöket telepítsenek, többek között a Syncro, SuperOps, Zoho Assist, Atera, AnyDesk és Splashtop eszközöket, amelyek legitim, digitálisan aláírt eszközök, így nem valószínű, hogy figyelmeztetést váltanak ki az áldozat rendszerében. A támadók a GoDaddy-n keresztül typosquatted domaineket is regisztráltak, és így amerikai cégeknek adják ki magukat, hogy elérhetőségi adatokat gyűjtsenek, és lehetővé tegyék a célzott social engineeringet.
Az RMM eszköz telepítése után a támadók hozzáférést szereznek az érintett rendszerhez és más eszközökre is átterjedhetnek, hogy átkutassák a helyi fájlokat és megosztott meghajtókat érzékeny adatok után. Miután megtalálták az értékes fájlokat, a WinSCP (SFTP-n keresztül) vagy az Rclone (felhőszinkronizálás) segítségével a kiberszereplő által ellenőrzött infrastruktúrába exfiltrálják azokat. Az adatok ellopása után lép kapcsolatban a Luna Moth az áldozattá vált szervezettel.
Az EclecticIQ nagy bizonyossággal úgy értékeli, hogy a Luna Moth nagy valószínűséggel a 2021-es BazarCall kampány mögött álló szereplőhöz kapcsolódik, aki a Conti és Ryuk ransomware-ek telepítéséről ismert. A korábbi műveletekkel ellentétben a Luna Moth most az adatlopásra és zsarolásra összpontosít, azzal fenyegetőzve, hogy az ellopott adatokat egy dedikált szivárogtató oldalon (DLS) közzéteszi, és hét számjegyű váltságdíjat követel, ahelyett, hogy fájlokat titkosítva gyakorolna nyomást az áldozatokra.
A Luna Moth áttérése az adatzsarolásra valószínűleg a Contihoz kötődő korábbi szereplők stratégiai lépése a működési kockázat csökkentése és a bevételek fenntartása érdekében, miután felszámolták a Conti-t 2022-ben.
Az EclecticIQ megosztotta az IoC-kat, beleértve az IP-címeket és az adathalász tartományokat. Az IoC-k felhasználása mellet ajánlott megfontolni a nem használt RMM eszközök futtatásának korlátozását is.
