Duomenų vagysčių turto prievartavimo grupė, žinoma kaip Luna Moth, dar žinoma kaip „Silent Ransom Group“, sukėlė atgalinio atgalinio sukčiavimo kampanijas dėl išpuolių prieš teisines ir finansų įstaigas JAV.
Pasak „EclecticIq“ tyrėjo Arda Büyükkaya, pagrindinis šių atakų tikslas yra duomenų vagystės ir turto prievartavimas.
„Luna Moth“, žinoma kaip „Silent Ransom Group“, yra grėsmės veikėjai, kurie anksčiau vykdė „Bazarcall“ kampanijas kaip būdą, kaip gauti pradinę prieigą prie „Ryuk“ korporacijų tinklų, o vėliau – „Conti Ransomware“ išpuolių.
2022 m. Kovo mėn., Kai Conti pradėjo uždaryti, Bazarcall grėsmės veikėjai atsiskyrė nuo Conti sindikato ir sudarė naują operaciją pavadinimu „Silent Ransom Group“ (SRG).
Naujausi „Luna Moths“ išpuoliai apima apsimetinėjimą IT palaikymu el. Paštu, padirbtomis svetainėmis ir telefono skambučiais ir pasikliauti tik socialine inžinerija ir apgaulėje, bet kuriuo iš atvejų nematyti išpirkos programinės įrangos.
„Nuo 2025 m. Kovo mėn.„ EclecticIq “labai pasitiki, kad„ Luna Moth “greičiausiai per„ Godaddy “už tai, kad palaikytų savo atgalinio ryšio kampanijas, greičiausiai užregistravo mažiausiai 37 sritis“,-rašoma „EclecticIq“ ataskaitoje.
„Dauguma šių sričių apsimeta IT pagalba arba palaiko pagrindines JAV advokatų kontoras ir finansinių paslaugų firmas, naudodamos rašybos būdus.”
Šaltinis: „EclecticIq“
Naujausia „EclecticIQ“ pastebėta veikla prasideda 2025 m. Kovo mėn., Taikant JAV įsikūrusias organizacijas su kenksmingais el. Laiškais, kuriuose yra padirbtų pagalbinių numerių gavėjų, raginami kviesti išspręsti neegzistuojančias problemas.
„Luna Moth“ operatorius atsako į skambutį, apsimesdamas IT darbuotojais ir įtikina auką įdiegti nuotolinio stebėjimo ir valdymo (RMM) programinę įrangą iš „Fake IT“ pagalbos tarnybos svetainių, kurios suteikia užpuolikams nuotolinę prieigą prie savo mašinos.
„Fake Help Desk“ svetainėse naudojami domenų vardai, kurie seka įvardijimo modelius, tokius kaip (Company_name) -helpdesk.com ir (company_name) helpdesk.com.
Šaltinis: „EclecticIq“
Kai kurie šių atakų piktnaudžiaujami įrankiai yra „Syncro“, „SuperOps“, „Zoho Assist“, „ATERA“, „AnyDesk“ ir „Splashtop“. Tai yra teisėtos, skaitmeniškai pasirašytos priemonės, todėl jie greičiausiai nesukels jokių įspėjimų aukai.
Įdiegus RMM įrankį, užpuolikas turi praktinę prieigą prie klaviatūros, leisdamas jiems plisti į kitus įrenginius ir ieškoti vietinių failų bei bendrų diskų, kad gautumėte neskelbtinus duomenis.
Remdamiesi vertingais failais, jie išeikvoja juos į užpuoliko kontroliuojamą infrastruktūrą, naudodami „WinSCP“ (per SFTP) arba RCLONE (debesies sinchronizavimas).
Pavogę duomenis, „Luna Moth“ susisiekia su nukentėjusia organizacija ir grasina ją viešai nutekėti savo „ClearWeb“ domene, nebent jie sumokėtų išpirkos. Išpirkos suma svyruoja vienai aukai – nuo vieno iki aštuonių milijonų JAV dolerių.
Šaltinis: „BleepingComputer“
„Büyükkaya“ komentuoja šių atakų slaptumą, pažymėdami, kad jose nėra kenkėjiškų programų, kenkėjiškų priedų ar nuorodų į kenkėjiškų programų sukeltas svetaines. Aukos tiesiog patys įdiegia RMM įrankį, manydami, kad jie gauna pagalbos tarnybos palaikymą.
Kadangi įmonė paprastai naudoja šiuos RMM įrankius, saugos programinė įranga jų pažymi kaip kenksmingus ir jiems leidžiama veikti.
Kompromiso rodikliai (IOC), įskaitant IP adresus ir sukčiavimo domenus, kurie turėtų būti pridedami prie bloko sąrašo, yra „EclecticIq“ ataskaitos apačioje.
Be domenų, taip pat rekomenduojama apsvarstyti galimybę apriboti RMM įrankių, nenaudojamų organizacijos aplinkoje, vykdymą.
Remdamiesi 14 m kenkėjiškų veiksmų analize, atraskite 10 geriausių „MitRAT ATT & CK“ metodų, esančių už 93% išpuolių ir kaip ginti nuo jų.
