Luna Moth勒索黑客冒充IT服务台大面积入侵美国公司

被称为Luna Moth的数据盗窃勒索组织，又名Silent Ransom group，已经加大了对美国法律和金融机构的回调网络钓鱼攻击力度。

据 EclecticIQ 研究员 Arda Büyükkaya 称，这些攻击的最终目的是窃取数据和实施勒索。

Luna Moth，内部称为 Silent Ransom Group，他们之前曾发起 BazarCall 活动，以便为 Ryuk 获取公司网络的初始访问权限，后来又发起 Conti 勒索软件攻击。

2022年3月，随着Conti开始关闭，BazarCall威胁组织从Conti集团中分离出来，成立了一个名为Silent Ransom Group （SRG）的新组织。

Luna moth最近的攻击包括通过电子邮件、虚假网站和电话冒充IT支持人员，并且完全依赖社会工程和欺骗，在任何情况下都没有部署勒索软件。

据安全公司评估，截至2025年3月，Luna Moth可能已经通过GoDaddy注册了至少37个域名，以支持其回调网络钓鱼活动。

这些域名中的大多数都是美国主要律师事务所和金融服务公司的IT帮助台或支持门户，使用的是键入的模式。

Luna Moth在过去12个月的目标

elecectiq发现的最新活动始于2025年3月，目标是美国的组织，这些组织发送恶意电子邮件，其中包含假的号码，收件人被敦促拨打电话解决不存在的问题。

一名Luna Moth操作员冒充IT人员接听电话，并说服受害者安装来自假IT帮助台网站的远程监控和管理（RMM）软件，使攻击者能够远程访问他们的机器。

虚假的帮助台网站使用域名，这些域名遵循像[company_name]-helpdesk.com和[company_name]helpdesk.com这样的命名模式。

虚假IT支持网站

在这些攻击中被滥用的工具包括Syncro、SuperOps、Zoho Assist、Atera、AnyDesk和Splashtop。这些都是合法的数字签名工具，所以它们不太可能触发对受害者的任何警告。

一旦安装了RMM工具，攻击者就可以动手访问键盘，允许他们传播到其他设备并搜索本地文件和共享驱动器以获取敏感数据。

找到有价值的文件后，他们使用WinSCP（通过SFTP）或Rclone（云同步）将这些文件泄露到攻击者控制的基础设施中。

数据被盗后，Luna Moth联系受害组织，威胁要在其清晰网域名上公开泄露数据，除非他们支付赎金。每个受害者的赎金金额各不相同，从100万美元到800万美元不等。

Luna Moth的勒索网站

Büyükkaya评论了这些攻击的隐蔽性，指出它们不涉及恶意软件、恶意附件或恶意软件网站的链接。受害者只是自己安装RMM工具，认为他们正在接受帮助台的支持。由于企业通常使用这些RMM工具，因此它们不会被安全软件标记为恶意工具，并允许运行，建议考虑限制在组织环境中不使用的RMM工具的执行。