Luna Moth Phishing Attack
米国連邦捜査局(FBI)は、「ルナ・モス」と呼ばれるグループによるソーシャルエンジニアリング攻撃について警告を発しました。この恐喝犯罪グループは過去2年間、法律事務所を標的とし、フィッシングメールと電話を使ったソーシャルエンジニアリングを巧みに組み合わせて機密データを盗み出し、金銭を要求してきました。
目次
彼らの手口:コールバックフィッシングの手口
Chatty Spider、Silent Ransom Group(SRG)、Storm-0252、UNC3753としても知られるLuna Mothは、少なくとも2022年から活動しています。主にコールバックフィッシング、または電話指向攻撃配信(TOAD)と呼ばれる戦術を用いています。請求書やサブスクリプションに関するフィッシングメールは一見無害に見えますが、受信者を騙して電話番号に電話をかけさせ、支払いやサブスクリプションを「キャンセル」させようとします。
これらの通話中に、攻撃者は被害者にリモートアクセスプログラムをインストールさせ、システムへの不正アクセスを取得します。これらのデバイスを掌握することで、脅威アクターは機密情報を収集し、他のサイバー犯罪者へのデータの漏洩や売却を防ぐために、恐喝要求を突きつけます。
BazarCallからITなりすましまで
これは、 Cont iのようなランサムウェアを拡散させた過去のBazarCallキャンペーンの背後にいるのと同じグループです。Cont iの閉鎖以降、Luna Mothは活動を活発化させています。特に2025年3月時点では、標的の個人に直接電話をかけ、IT部門の従業員を装うという戦略を進化させています。この手法は、従業員を誘導してリモートアクセスセッションに参加させ、多くの場合、夜間のメンテナンス作業という名目で行われます。
商売道具:正規のソフトウェアに溶け込む
アクセスが許可されると、Luna Moth は権限を昇格し、正当なツールを使用してデータを盗み出します。
- Rクローン
- ウィンSCP
- Zohoアシスト
- シンクロ
- エニーデスク
- スプラッシュトップ
- アテラ
これらは正規のシステム管理およびリモートアクセスツールであるため、セキュリティツールによる検出を逃れることがよくあります。侵入先のデバイスに管理者権限がない場合、WinSCPポータブルを使用して盗んだデータを外部に持ち出すことができます。これは比較的新しい手法ですが、非常に効果的であることが証明されており、複数の侵入成功例につながっています。
問題の兆候:ルナモスの攻撃の兆候
サイバーセキュリティ担当者は、次のような特定の危険信号に注意する必要があります。
- 名前を明かさないグループから、データが盗まれたと主張する予期せぬ電子メールまたはボイスメール。
- 料金を回避するために電話が必要なサブスクリプションの更新に関する電子メール。
- お使いのデバイスへのリモート アクセスを促す、IT スタッフを名乗る人物からの迷惑電話。
- WinSCP または Rclone 経由で外部 IP アドレスに疑わしい接続が行われました。
ハイテンポ攻撃とヘルプデスクのなりすまし
調査によると、Luna Mothによる「ハイテンポ」なコールバックフィッシングキャンペーンは、米国の法務および金融セクターを標的としています。彼らはReamaze Helpdeskなどのプラットフォームやその他のリモートデスクトップソフトウェアを利用しています。2025年3月だけでも、Luna MothはGoDaddyを通じて少なくとも37のドメインを登録しました。これらのドメインのほとんどは、標的となった組織のITヘルプデスクやサポートポータルを偽装したものです。
これらのヘルプデスクをテーマにしたドメインは、通常、標的の企業名で始まります。攻撃者は少数のレジストラとネームサーバープロバイダーに依存しており、domaincontrol.comが最も一般的です。
警戒を怠らないでください!
Luna Mothの攻撃キャンペーンは、警戒を怠らないことの重要性を浮き彫りにしています。基本的なツールにソーシャルエンジニアリングやドメインスプーフィングを組み合わせることで、多くの防御策を回避し、機密データを危険にさらします。彼らの戦術を認識することが、保護を維持するための第一歩です。
