28/05/25
Федеральное бюро расследований США (ФБР) выпустило официальное предупреждение, зафиксировав серию атак, в которых злоумышленники под видом поддержки IT-службы получают удалённый доступ к компьютерам сотрудников и крадут конфиденциальную информацию для последующего шантажа.
Группировка, также известная как Chatty Spider, Silent Ransom Group (SRG), Storm-0252 и UNC3753, действует с 2022 года. Её основным методом остаётся callback-фишинг, или TOAD — атаки с телефонным участием, пишет Securiylab. Преступники рассылают письма, якобы касающиеся отмены платной подписки. В письме указывается номер телефона, по которому нужно срочно позвонить, чтобы избежать автоматического списания средств. Позвонив, жертва попадает на «службу поддержки», где её убеждают установить программу для удалённого доступа, что и становится точкой входа в систему.
После установления контроля над устройством, участники Luna Moth похищают файлы, а затем направляют жертве сообщение с требованием выкупа. В случае отказа обещают опубликовать данные или продать их другим злоумышленникам. Зафиксированы случаи, когда для этих целей применялись утилиты WinSCP и Rclone — легитимные инструменты для передачи данных, часто не вызывающие подозрений у антивирусного ПО.
С марта 2025 года группа сместила акцент: теперь звонки поступают напрямую сотрудникам компаний, а злоумышленники представляются работниками их внутренней IT-службы. Под этим предлогом они просят пользователя подключиться к удалённой сессии — либо через ссылку в письме, либо через специальный сайт. Далее, под предлогом «работы ночью», получают доступ к устройству, после чего повышают привилегии и начинают выгрузку файлов.
По данным ФБР, в новых атаках активно используются легальные средства администрирования: Zoho Assist, Syncro, AnyDesk, Splashtop и Atera. Это позволяет действовать незаметно, обходя стандартные механизмы обнаружения угроз. Если злоумышленники не получают административных прав, то для передачи данных используют портативную версию WinSCP, не требующую установки и дополнительных разрешений.
В числе признаков атаки ФБР советует обращать внимание на исходящие подключения WinSCP или Rclone к внешним IP-адресам, внезапные письма с неизвестных адресов, содержащие угрозы утечки данных, уведомления о подписках с предложением позвонить по номеру, а также неожиданные звонки от якобы «сотрудников IT-отдела».
Помимо предупреждения ФБР, свою аналитику опубликовала и компания EclecticIQ. В отчёте подчёркивается высокая активность Luna Moth в США, особенно против юридического и финансового сектора. Для атак использовались такие решения, как Reamaze Helpdesk и другое программное обеспечение для удалённого доступа. В марте злоумышленники зарегистрировали не менее 37 доменов через GoDaddy, имитирующих IT-порталы атакуемых компаний.
Как отмечают в Silent Push, эти домены часто начинались с названия организации и заканчивались словами вроде «-helpdesk.com». При этом предпочтение отдавалось ограниченному числу регистраторов и DNS-провайдеров — особенно часто использовался «domaincontrol[.]com».
Постепенное развитие и адаптация методов атаки, а также активное использование легитимных инструментов делают Luna Moth одной из наиболее заметных вымогательских группировок последнего времени. Юридическим и финансовым организациям рекомендуется усилить внутренние процессы проверки сотрудников, а также внедрить контроль за использованием ПО для удалённого доступа и передачей данных за пределы сети.
