Biro Investigasi Federal AS (FBI) telah memperingatkan serangan teknik sosial yang dipasang oleh aktor pemerasan kriminal yang dikenal sebagai Luna Moth yang menargetkan firma hukum selama dua tahun terakhir.
Kampanye ini memanfaatkan “Teknologi Informasi (TI) bertema panggilan rekayasa sosial, dan callback phishing email, untuk mendapatkan akses jarak jauh ke sistem atau perangkat dan mencuri data sensitif untuk memeras para korban,” kata FBI dalam penasihat.
Luna Moth, juga disebut Chatty Spider, Silent Ransom Group (SRG), Storm-0252, dan UNC3753, diketahui aktif sejak setidaknya tahun 2022, terutama menggunakan taktik yang disebut phishing callback atau pape-phishing yang menguasai paying.
Perlu disebutkan di sini bahwa Luna Moth mengacu pada kru peretasan yang sama yang sebelumnya melakukan kampanye Bazarcall (alias Bazacall) untuk menggunakan ransomware seperti Conti. Aktor -aktor ancaman muncul sendiri setelah penutupan sindikat Conti.
Secara khusus, penerima email diinstruksikan untuk menghubungi nomor dukungan pelanggan untuk membatalkan langganan premium mereka dalam waktu 24 jam untuk menghindari mengeluarkan pembayaran. Selama percakapan telepon, korban mengirim email ke tautan dan dipandu untuk memasang program akses jarak jauh, memberikan aktor ancaman akses yang tidak sah ke sistem mereka.
Berbekal akses, para penyerang melanjutkan untuk mengeluarkan informasi sensitif dan mengirim catatan pemerasan kepada korban, menuntut pembayaran untuk menghindari mendapatkan data curian yang diterbitkan di situs yang bocor atau dijual ke penjahat cyber lainnya.
FBI mengatakan para aktor Luna Moth telah menggeser taktik mereka pada Maret 2025 dengan memanggil individu yang menarik dan menyamar sebagai karyawan dari departemen TI perusahaan mereka.
“SRG kemudian akan mengarahkan karyawan untuk bergabung dengan sesi akses jarak jauh, baik melalui email yang dikirimkan kepada mereka, atau menavigasi ke halaman web,” kata agensi tersebut. “Setelah karyawan memberikan akses ke perangkat mereka, mereka diberitahu bahwa pekerjaan perlu dilakukan dalam semalam.”
Aktor ancaman, setelah mendapatkan akses ke perangkat korban, telah ditemukan meningkatkan hak istimewa dan memanfaatkan alat -alat yang sah seperti RCLone atau Winscp untuk memfasilitasi exfiltrasi data.
Penggunaan manajemen sistem asli atau alat akses jarak jauh seperti Zoho Assist, Syncro, AnyDesk, Splashtop, atau Atera untuk melakukan serangan berarti mereka tidak mungkin ditandai oleh alat keamanan yang dipasang pada sistem.
“Jika perangkat yang dikompromikan tidak memiliki hak administratif, WINCCP Portable digunakan untuk mengeksfiltrasi data korban,” tambah FBI. “Meskipun taktik ini hanya diamati baru -baru ini, ini sangat efektif dan menghasilkan banyak kompromi.”
Pembela didesak untuk waspada terhadap koneksi WINSCP atau RCLone yang dibuat untuk alamat IP eksternal, email atau voicemail dari kelompok yang tidak disebutkan namanya yang mengklaim data dicuri, email mengenai layanan berlangganan yang menyediakan nomor telepon dan memerlukan panggilan untuk
Hapus biaya pembaruan yang tertunda, dan panggilan telepon yang tidak diminta dari orang -orang yang mengklaim bekerja di departemen TI mereka.
Pengungkapan ini mengikuti laporan dari Eclecticiq yang merinci kampanye phishing callback “tempo tinggi” Luna Moth yang menargetkan sektor-sektor hukum dan keuangan AS menggunakan Reamaze Helpdesk dan perangkat lunak desktop jarak jauh lainnya.
Menurut perusahaan cybersecurity Belanda, setidaknya 37 domain didaftarkan oleh aktor ancaman melalui Godaddy pada bulan Maret, yang sebagian besar memalsukan bantuan IT organisasi yang ditargetkan dan mendukung portal.
“Luna Moth terutama menggunakan domain bertema helpdesk, biasanya dimulai dengan nama bisnis yang ditargetkan, misalnya, Vorys-Helpdesk[.]com, “Silent Push mengatakan dalam serangkaian posting di X.” Para aktor menggunakan beragam pendaftar yang relatif kecil. Para aktor tampaknya menggunakan serangkaian penyedia server nama terbatas, dengan domaincontrol[.]com menjadi yang paling umum. “
