Группировка Luna Moth ворует чужие данные, используя для этого фальшивые сообщения о продлении подписок на популярные сервисы. Мошенники вынуждают целевые компании связаться с ними и установить инструмент для удаленного доступа, а затем воруют данные.
Группу Luna Moth (она же TG2729) обнаружили специалисты компании Sygnia. Эксперты пишут, что в настоящее время хакеры пытаются создать репутацию, используя имя Silent Ransom Group (SRG).
Хотя группа занимается вымогательством, она не шифрует данные своих жертв, а методы и тактики Luna Moth скорее больше подходят мошенникам, а не вымогательской группировке. Тем не менее, основная цель этих хакеров – именно хищение данных, за которые впоследствии можно потребовать выкуп.
Атаки Luna Moth начинают с фальшивых писем, в которых жертв уведомляют об окончании подписки на Zoho, MasterClass или Duolingo. Такие послания используют email-адреса, похожие на имена упомянутых брендов, хотя, на самом деле, письма приходят с Gmail. В письме жертве сообщают, что ее подписка на сервис подходит к концу, и скоро будет автоматически продлена. Также к письму прилагается счет на оплату, в котором содержится контакт для тех, кто хочет узнать больше о подписке или отменить ее.
Звонок по такому номеру телефона связывает жертву с мошенниками, которые обманом вынуждают пользователям установить инструмент для удаленного доступа.
Аналитики Sygnia признают, что Luna Moth вряд ли можно назвать технически продвинутой группировкой, так как даже для удаленного доступа злоумышленники предпочитают использовать такие коммерческие решения как Atera, AnyDesk, Synchro и Splashtop. При этом во многих случаях мошенники устанавливали на машину жертвы более одного RAT, стремясь надежнее закрепиться в системе.
Получив доступ, хакеры вручную устанавливают такие инструменты как SoftPerfect Network Scanner, SharpShares и Rclone, что позволяет им провести разведку, обнаружить ценные файлы и похитить их. При этом злоумышленники не нацеливаются на каких-то конкретных жертв. Luna Moth — оппортунисты и готовы похитить любые данные, к которым смогут получить доступ.
После кражи информации хакеры переходят к вымогательству, причем их требования довольно высоки: исследователи говорят, что Luna Moth может требовать миллионы долларов в качестве выкупа.
Хотя методы группы просты и скорее относятся к области социальной инженерии, аналитики Sygnia обнаружили, что Luna Moth использует около 90 доменных имен в своей инфраструктуре, а также для хостинга данных взломанных компаний. Все эти сайты используются для фишинга, а их адреса похожи на адреса сайтов настоящих брендов. К примеру, бренды Zoho, MasterClass и Duolingo злоумышленники эксплуатируют более чем в 40 случаях, а остальные ресурсы используются для хищения и хостинга данных.
