Социальная инженерия, инструменты удаленного администрирования (RAT) и несколько программ – это все, что понадобилось группировке Luna Moth для проникновения в системы жертв. По словам исследователей из Sygnia , хакеры из Luna Moth проводят вымогательские атаки без вымогательского ПО. Об этом пишут в Securitylab.
Используя бренды Zoho Masterclass и Duolingo, Luna Moth проводит классические фишинговые кампании, пытаясь скомпрометировать устройства жертв и украсть все доступные данные.
Фишинговая кампания злоумышленников начинается с фальшивых электронных писем, в которых у жертв просят оплатить подписку и предлагают открыть PDF-вложение с номером мобильного телефона для получения дополнительной информации.
Когда жертва звонит на указанный номер, ей отвечает хакер и обманом заставляет пользователя установить Atera, известный RAT, который дает злоумышленникам полный контроль над устройством. После этого злоумышленники начинают угрожать жертвам, говоря, что сольют данные в сеть или конкурентам, если выкуп не будет выплачен.
Исследователи отметили, что в арсенале Luna Moth есть и другие готовые инструменты удаленного администрирования, такие как Splashtop, Syncro и AnyDesk. Кроме них злоумышленники используют дополнительное ПО: SoftPerfect Network Scanner, SharpShares и Rclone.
В отчете также сказано о том, что хакеры хранят свои инструменты на взломанных устройствах под фальшивыми именами, маскируя их под легитимные бинарные файлы. Эти инструменты позволяют злоумышленникам проводить базовую разведку и получать доступ к дополнительным доступным ресурсам.