Luna Moth Gang در مراکز تماس سرمایهگذاری میکند تا کسبوکارها را با کمپینهای فیشینگ پاسخ به تماس هدف قرار دهد.
کمپین Luna Moth صدها هزار دلار از چندین قربانی در بخش های قانونی و خرده فروشی اخاذی کرده است.
قربانیان از طریق فرآیندی به نام فیشینگ برگشتی یا تحویل حمله مبتنی بر تلفن (TOAD) مورد حمله قرار گرفتند، که در آن قربانیان از نظر اجتماعی مهندسی شدهاند تا از طریق ایمیلهای فیشینگ حاوی فاکتورها و فریبهایی با موضوع اشتراک، تماس تلفنی برقرار کنند.
واحد 42 شبکه پالو آلتو گفت که این حملات "محصول یک کمپین کاملا سازماندهی شده" است و افزود: "این عامل تهدید به طور قابل توجهی در مراکز تماس و زیرساخت هایی سرمایه گذاری کرده است که برای هر قربانی منحصر به فرد است."
این شرکت امنیت سایبری این فعالیت را به عنوان یک "کمپین چند ماهه فراگیر که به طور فعال در حال تکامل است" توصیف کرد.
نکته مهمی که باید به آن اشاره کرد این است که فیشینگ برگشت به تماس ذکر شده این است که پیامهای ایمیل کاملاً عاری از هر گونه پیوست مخرب یا پیوند انفجاری هستند و به آنها امکان میدهد از شناسایی فرار کنند و راهحلهای محافظت از ایمیل را پشت سر بگذارند.
این پیامها معمولاً با فاکتوری همراه هستند که شامل شماره تلفنی است که کاربران میتوانند برای لغو اشتراک فرضی با آن تماس بگیرند. با این حال، در واقعیت، قربانیان به یک مرکز تماس کنترلشده توسط بازیگر هدایت میشوند و به یک عامل زنده در سمت دیگر متصل میشوند، که در نهایت یک ابزار دسترسی از راه دور را برای تداوم نصب میکند.
کریستوفر روسو، محقق واحد 42، گفت: «پس از آن مهاجم به دنبال شناسایی اطلاعات ارزشمند روی رایانه قربانی و اشتراکگذاری فایلهای متصل میشود و آنها را بیصدا به سروری که با استفاده از ابزار انتقال فایل کنترل میکنند، استخراج میکند.
این کمپین ممکن است منابع فشرده باشد، اما از نظر فنی نیز پیچیده تر است و احتمال موفقیت بسیار بالاتری نسبت به سایر حملات فیشینگ دارد.
علاوه بر این، اخاذی را بدون رمزگذاری فعال میکند و به عوامل مخرب اجازه میدهد تا دادههای حساس را بدون نیاز به استقرار باجافزار برای قفل کردن فایلها پس از استخراج، غارت کنند.
بازیگر Luna Moth که با نام Silent Ransom نیز شناخته میشود، در انجام چنین طرحهایی به نوعی متخصص شده است. به گفته AdvIntel، گمان میرود که گروه جرایم سایبری مغز متفکر حملات BazarCall در سال گذشته باشد.
برای مشروعیت بخشیدن به این حملات، دشمنان، به جای حذف بدافزاری مانند BazarLoader، از ابزارهای قانونی مانند Zoho Assist برای تعامل از راه دور با رایانه قربانی سوء استفاده میکنند و از دسترسی برای استقرار سایر نرمافزارهای قابل اعتماد مانند Rclone یا WinSCP سوء استفاده میکنند. داده های برداشت
تقاضای اخاذی از دو تا 78 بیت کوین بر اساس سازمان مورد نظر متغیر است و عامل تهدید برای هر پرداخت کیف پول های ارزهای دیجیتال منحصر به فردی ایجاد می کند. همچنین گفته میشود که حریف برای پرداخت سریع تخفیفهایی نزدیک به 25% ارائه میکند، اگرچه هیچ تضمینی برای حذف دادهها وجود ندارد.
روسو گفت: "بازیگران تهدید پشت این کمپین تلاش زیادی کرده اند تا از همه ابزارهای غیر ضروری و بدافزارها اجتناب کنند تا پتانسیل شناسایی را به حداقل برسانند." "از آنجایی که شاخص های اولیه بسیار کمی وجود دارد که قربانی مورد حمله قرار گرفته است، آموزش آگاهی از امنیت سایبری کارکنان اولین خط دفاعی است."