ABD Federal Soruşturma Bürosu (FBI), son iki yıldır hukuk firmalarını hedefleyen Luna Güvei olarak bilinen bir suç gasp aktörü tarafından toplanan sosyal mühendislik saldırıları konusunda uyardı.
Kampanya, “Bilgi Teknolojisi (BT) temalı sosyal mühendislik çağrıları ve geri arama kimlik avı e -postalarını, sistemlere veya cihazlara uzaktan erişim sağlamak ve kurbanları zorlamak için hassas verileri çalmak” dan yararlanıyor.
Chatty Spider, Sessiz Fidye Grubu (SRG), Storm-0252 ve UNC3753 olarak da adlandırılan Luna Güve, en az 2022’den beri aktif olduğu bilinmektedir, öncelikle geri çağırma kimlik avı veya telefon odaklı saldırı teslimi (ToAD) adlı bir taktik kullanır (Toad), tüm kullanıcıları istila etmek için, faturalanmalarla ilişkili olarak, alışılmadık e-postalarda listelenen telefon numaralarına kandırmak için.
Burada Luna Güve’nin, daha önce Bazarcall (AKA Bazacall) kampanyalarını Conti gibi fidye işlemek için gerçekleştiren aynı hack ekibine atıfta bulunduğundan bahsetmeye değer. Tehdit aktörleri, Conti Sendikası’nın kapatılmasının ardından kendi başlarına geldi.
Özellikle, e -posta alıcılarına bir ödeme yapmayı önlemek için 24 saat içinde premium aboneliklerini iptal etmeleri için bir müşteri destek numarasını armaları talimatı verilir. Telefon görüşmesi boyunca, kurban bir bağlantı e -postayla gönderilir ve bir uzaktan erişim programı kurmaya yönlendirilir ve tehdit aktörlerine sistemlerine yetkisiz erişim sağlar.
Erişimle donanmış olan saldırganlar, hassas bilgileri dışarı atmaya ve kurbana bir gasp notu göndermeye devam ederek, çalınan verilerinin sızdırılmış bir sitede yayınlanmasını veya diğer siber suçlulara satılmasını önlemek için ödeme talep eder.
FBI, Luna Güve aktörlerinin Mart 2025 itibariyle taktiklerini, ilgilenen bireyleri arayarak ve şirketlerinin BT departmanından çalışan olarak poz vererek değiştirdiğini söyledi.
Ajans, “Daha sonra SRG, çalışanı kendilerine gönderilen bir e -posta yoluyla veya bir web sayfasına giderek bir uzaktan erişim oturumuna katılmaya yönlendirecektir.” “Çalışan cihazlarına erişim sağladıktan sonra, kendilerine bir gecede yapılması gerektiği söyleniyor.”
Tehdit aktörlerinin, mağdurun cihazına erişim sağladıktan sonra, ayrıcalıkları artırdığı ve veri açığa çıkmasını kolaylaştırmak için RCLone veya WINSCP gibi meşru araçlardan yararlandığı bulunmuştur.
Saldırıları gerçekleştirmek için gerçek sistem yönetiminin veya Zoho Assist, Syncro, Anydesk, Splashtop veya Atera gibi uzaktan erişim araçlarının kullanılması, sistemlere yüklenen güvenlik araçları tarafından işaretlenmesi olası olmadığı anlamına gelir.
FBI, “Meydan okulu cihazın idari ayrıcalıkları yoksa, WINSCP taşınabilir kurban verilerini yaymak için kullanılır.” Diyerek şöyle devam etti: “Bu taktik sadece son zamanlarda gözlemlenmiş olsa da, son derece etkili oldu ve birden fazla uzlaşma ile sonuçlandı.”
Savunuculardan, istenmeyen bir gruptan harici IP adreslerine, e -postalara veya sesli mesajlara yapılan WINSCP veya RCLone bağlantıları arayışında olmaları istenir.
BT departmanlarında çalıştığını iddia eden bireylerden bekleyen yenileme ücretlerini ve istenmeyen telefon görüşmelerini kaldırın.
Açıklama, Luna Moth’un “Yüksek Tempo” geri dönme kimlik avı kampanyalarını, Reamaze Helpsk ve diğer uzak masaüstü yazılımlarını kullanarak ABD yasal ve finans sektörlerini hedefleyen bir rapor izliyor.
Hollanda Siber Güvenlik Şirketi’ne göre, Mart ayında Godaddy üzerinden tehdit oyuncusu tarafından en az 37 alan kaydedildi, bunlardan çoğu hedeflenen kuruluşların yardım masası ve destek portallarını destekledi.
“Luna Güve öncelikle yardım masası temalı alanlar kullanıyor, genellikle hedeflenen işletmenin adından başlayarak, örneğin, Vorys-Helpdesk[.]Com, “Silent Push, X’teki bir dizi yayında dedi.” Aktörler nispeten küçük bir kayıt memuru kullanıyor. Oyuncular, DomainControl’le sınırlı bir dizi adlandırıcı sağlayıcıyı kullanıyor gibi görünüyor[.]com en yaygın olanıdır. “