В течение последних нескольких месяцев команда реагирования на инциденты Sygnia методично отслеживала группу "Luna Moth". Их методы работы напоминают мошенников, которые крадут корпоративные данные, используя угрозу публикации, чтобы потребовать выкуп в миллионы долларов.
Luna Moth APT
- Команда реагирования на инциденты Sygnia выявила относительно новую группу угроз, которая начала действовать с конца марта 2022 года. Sygnia называет этого агента угроз 'Luna Moth' или TG2729.
- Luna Moth" специализируется на вымогательстве данных, угрожая утечкой украденной информации, если не будет выплачен требуемый выкуп.
- Первоначальная компрометация достигается путем обмана жертв в фишинговой кампании на тему подписки на Zoho MasterClass и Duolingo, что приводит к установке начального инструмента на скомпрометированный хост.
- Группа использует коммерческие инструменты удаленного администрирования (RAT) и общедоступные инструменты для работы на взломанных устройствах и поддержания устойчивости, еще раз демонстрируя простоту и эффективность атак с целью выкупа.
- Группа действует и действует оппортунистически: даже если в сети нет активов или устройств для компрометации, она эксфильтрирует любые данные, которые доступны; это подчеркивает важность управления конфиденциальной корпоративной информацией.
С ростом активности программ-вымогателей за последние годы индустрия безопасности привыкла слышать о двойных и даже тройных вымогательских атаках, а также о новых преступных группах всех видов. В этой статье блога мы проливаем свет на относительно нового субъекта угроз, известного под названием "Silent Ransom Group" (или "SRG") и получившего от Sygnia название "Luna Moth". Запуская фишинговую кампанию с широкой зоной охвата, "Luna Moth" проникает на устройства жертв и компрометирует их. Эти атаки можно классифицировать как атаки с целью получения выкупа за утечку данных, в которых основной целью группы является получение доступа к конфиденциальным документам и информации и требование оплаты за отказ от публикации украденных данных. Как бы ни были просты эти атаки, они могут создать серьезные проблемы для жертв, если конфиденциальные данные и информация будут украдены таким образом.
Хотя эта группа широко не известна, в последние месяцы она проявляла активность, пытаясь создать себе репутацию банды, занимающейся выкупом. Их образ действий напоминает мошенников, с изюминкой в виде кражи корпоративных данных, использующих угрозу публикации, чтобы потребовать миллионы долларов в качестве выкупа.
В течение последних трех месяцев группа "Luna Moth" проводила широкомасштабную фишинговую кампанию на тему подписки на MasterClass и Duolingo, выдавая себя за Zoho MasterClass Inc и Duolingo. Хотя они утверждают, что имеют отношение к корпорации Zoho или Duolingo, фишинговые письма отправляются с адресов Gmail, которые изменены так, чтобы походить на адреса электронной почты законных компаний:
- {FIRST-NAME}.{LAST-NAME}.zohomasterclass@gmail.com
- {FIRST-NAME}.{LAST-NAME}.duolingo@gmail.com
Это классическая фишинговая афера: в письме утверждается, что получатель приобрел подписку на законную услугу, и что необходимо произвести оплату. Для завершения аферы к письму прилагается PDF-файл со счетом-фактурой, и жертве рекомендуется позвонить по номеру телефона, который, как утверждается в письме, можно найти в прикрепленном файле, если возникнут какие-либо проблемы с подпиской.
Если жертва хочет опровергнуть покупку, от нее требуется присоединиться к сеансу удаленной поддержки Zoho. В этот момент субъект угрозы использует встроенную функциональность Zoho Assist для отправки другого электронного письма, озаглавленного "Zoho Assist - сеанс удаленной поддержки", которое направляет пользователя на загрузку и установку приложения Zoho Assist. Затем группа приглашает жертву на сеанс поддержки, используя учетные записи Zoho Assist, привязанные к электронной почте protonmail.
Во время этого короткого, но эффективного сеанса Zoho Assist субъекту угрозы удается обманом заставить пользователя загрузить и установить Atera на свое устройство; этот инструмент удаленного администрирования обычно используется субъектами угрозы. После установки Atera на устройство угрожающий агент получает доступ к устройству и может свободно работать.
Основные инструменты состоят из инструментов удаленного администрирования (RAT), которые позволяют контролировать взломанные устройства; к ним относятся Atera, Splashtop, Syncro и AnyDesk. Эти инструменты также обеспечивают субъектам угроз некоторую избыточность и устойчивость: если один из RAT удаляется из системы, он может быть переустановлен другими.
Дополнительные инструменты, используемые группой, включают готовые инструменты, такие как SoftPerfect Network Scanner, SharpShares и
Rclone. Эти инструменты хранятся на взломанных машинах под вымышленными именами, маскируясь под легитимные двоичные файлы. Эти инструменты, в дополнение к RAT, предоставляют субъектам угрозы средства для проведения базовой разведки, доступа к дополнительным доступным ресурсам и утечки данных из взломанных сетей.
Indicators of Compromise
IPv4
- 104.168.135.71
- 104.168.164.244
- 104.168.171.104
- 104.168.171.231
- 104.168.201.100
- 104.168.201.121
- 104.168.201.129
- 104.168.201.87
- 104.168.204.231
- 104.168.218.242
- 142.11.206.153
- 142.11.209.198
- 142.11.215.104
- 142.11.215.212
- 142.11.215.25
- 192.119.110.112
- 192.119.110.166
- 192.119.110.22
- 192.119.110.47
- 192.119.111.197
- 192.119.111.21
- 192.119.111.25
- 192.119.111.51
- 192.236.147.234
- 192.236.155.102
- 192.236.155.103
- 192.236.155.106
- 192.236.155.138
- 192.236.155.151
- 192.236.155.243
- 192.236.155.81
- 192.236.160.132
- 192.236.176.197
- 192.236.176.199
- 192.236.176.79
- 192.236.177.18
- 192.236.177.20
- 192.236.177.251
- 192.236.178.135
- 192.236.178.3
- 192.236.179.217
- 192.236.179.76
- 192.236.192.2
- 192.236.192.215
- 192.236.192.33
- 192.236.192.69
- 192.236.192.73
- 192.236.192.84
- 192.236.192.9
- 192.236.193.140
- 192.236.193.141
- 192.236.193.148
- 192.236.193.149
- 192.236.193.150
- 192.236.193.151
- 192.236.193.152
- 192.236.193.171
- 192.236.193.182
- 192.236.193.81
- 192.236.193.86
- 192.236.194.113
- 192.236.194.2
- 192.236.194.31
- 192.236.194.42
- 192.236.195.42
- 192.236.195.74
- 192.236.195.83
- 192.236.198.22
- 192.236.198.23
- 192.236.199.2
- 192.236.208.44
- 192.236.208.56
- 192.236.209.34
- 192.236.209.36
- 192.236.249.75
- 192.236.249.76
- 192.236.249.78
- 192.236.249.79
- 192.236.249.80
- 198.54.117.244
- 23.238.40.28
- 23.238.40.29
- 23.238.40.30
- 23.238.40.31
- 23.238.40.32
- 23.254.227.79
- 23.254.228.211
- 23.254.229.90
Domains
- acsyruse.xyz
- adipiscing.xyz
- aedcc.xyz
- aeecc.xyz
- aeedo.xyz
- aeocc.xyz
- aeucc.xyz
- aliuuip.xyz
- allduolingo.com
- alloout.xyz
- allredoo.xyz
- allreedo.xyz
- aredo.xyz
- caaof.xyz
- caaog.xyz
- caaom.xyz
- caaon.xyz
- caaor.xyz
- cookingbyzoho.com
- cookingzoho.com
- cook-masterclass.com
- cookwithzoho.com
- deerunt.xyz
- deserunt.xyz
- dictumst.xyz
- duolingoclass.com
- duolingo-class.com
- duo-lingo-class.com
- duolingoeducation.com
- duolingoit.com
- duolingo-it.com
- duolingoitalian.com
- duolingo-italianclass.com
- duolingoitclass.com
- duuis.xyz
- eceee.xyz
- educationduolingo.com
- eeeaa.xyz
- eesse.xyz
- fringilla.xyz
- germanbyduolingo.com
- italian-duolingo.com
- maaasy.xyz
- maaays.xyz
- masaay.xyz
- massay.xyz
- masterclass-chef.com
- masterclass-cook.com
- masterclasscooking.com
- masterclass-design.com
- masterclassgold.com
- masterzohoclass.com
- masyaa.xyz
- maysaa.xyz
- mczoho.com
- molesste.xyz
- molestie.xyz
- moolit.xyz
- msaaay.xyz
- myaaas.xyz
- myaasa.xyz
- myasaa.xyz
- nostuud.xyz
- premiumduolingo.com
- proodee.xyz
- studyduolingo.com
- studyzoho.com
- subscriptionduolingo.com
- tincidunt.xyz
- tincidut.xyz
- ullamm.xyz
- ultrices.xyz
- veelit.xyz
- volutpat.xyz
- yourduolingo.com
- zohoclasspro.com
- zohocook.com
- zohocooking.com
- zohocookingclass.com
- zohocookingmeals.com
- zohoduolingo.com
- zohokitchen.com
- zohokitchenmaster.com
- zoholanguage.com
- zoholanguageclass.com
- zohomclass.com
- zohoteaching.com
- zohoteachingmaster.com