Luna Moth APT IOCs

security IOC

В течение последних нескольких месяцев команда реагирования на инциденты Sygnia методично отслеживала группу "Luna Moth". Их методы работы напоминают мошенников, которые крадут корпоративные данные, используя угрозу публикации, чтобы потребовать выкуп в миллионы долларов.

Luna Moth APT

  • Команда реагирования на инциденты Sygnia выявила относительно новую группу угроз, которая начала действовать с конца марта 2022 года. Sygnia называет этого агента угроз 'Luna Moth' или TG2729.
  • Luna Moth" специализируется на вымогательстве данных, угрожая утечкой украденной информации, если не будет выплачен требуемый выкуп.
  • Первоначальная компрометация достигается путем обмана жертв в фишинговой кампании на тему подписки на Zoho MasterClass и Duolingo, что приводит к установке начального инструмента на скомпрометированный хост.
  • Группа использует коммерческие инструменты удаленного администрирования (RAT) и общедоступные инструменты для работы на взломанных устройствах и поддержания устойчивости, еще раз демонстрируя простоту и эффективность атак с целью выкупа.
  • Группа действует и действует оппортунистически: даже если в сети нет активов или устройств для компрометации, она эксфильтрирует любые данные, которые доступны; это подчеркивает важность управления конфиденциальной корпоративной информацией.

С ростом активности программ-вымогателей за последние годы индустрия безопасности привыкла слышать о двойных и даже тройных вымогательских атаках, а также о новых преступных группах всех видов. В этой статье блога мы проливаем свет на относительно нового субъекта угроз, известного под названием "Silent Ransom Group" (или "SRG") и получившего от Sygnia название "Luna Moth". Запуская фишинговую кампанию с широкой зоной охвата, "Luna Moth" проникает на устройства жертв и компрометирует их. Эти атаки можно классифицировать как атаки с целью получения выкупа за утечку данных, в которых основной целью группы является получение доступа к конфиденциальным документам и информации и требование оплаты за отказ от публикации украденных данных. Как бы ни были просты эти атаки, они могут создать серьезные проблемы для жертв, если конфиденциальные данные и информация будут украдены таким образом.

Хотя эта группа широко не известна, в последние месяцы она проявляла активность, пытаясь создать себе репутацию банды, занимающейся выкупом. Их образ действий напоминает мошенников, с изюминкой в виде кражи корпоративных данных, использующих угрозу публикации, чтобы потребовать миллионы долларов в качестве выкупа.

В течение последних трех месяцев группа "Luna Moth" проводила широкомасштабную фишинговую кампанию на тему подписки на MasterClass и Duolingo, выдавая себя за Zoho MasterClass Inc и Duolingo. Хотя они утверждают, что имеют отношение к корпорации Zoho или Duolingo, фишинговые письма отправляются с адресов Gmail, которые изменены так, чтобы походить на адреса электронной почты законных компаний:

  • {FIRST-NAME}.{LAST-NAME}.zohomasterclass@gmail.com
  • {FIRST-NAME}.{LAST-NAME}.duolingo@gmail.com

Это классическая фишинговая афера: в письме утверждается, что получатель приобрел подписку на законную услугу, и что необходимо произвести оплату. Для завершения аферы к письму прилагается PDF-файл со счетом-фактурой, и жертве рекомендуется позвонить по номеру телефона, который, как утверждается в письме, можно найти в прикрепленном файле, если возникнут какие-либо проблемы с подпиской.

Если жертва хочет опровергнуть покупку, от нее требуется присоединиться к сеансу удаленной поддержки Zoho. В этот момент субъект угрозы использует встроенную функциональность Zoho Assist для отправки другого электронного письма, озаглавленного "Zoho Assist - сеанс удаленной поддержки", которое направляет пользователя на загрузку и установку приложения Zoho Assist. Затем группа приглашает жертву на сеанс поддержки, используя учетные записи Zoho Assist, привязанные к электронной почте protonmail.

Во время этого короткого, но эффективного сеанса Zoho Assist субъекту угрозы удается обманом заставить пользователя загрузить и установить Atera на свое устройство; этот инструмент удаленного администрирования обычно используется субъектами угрозы. После установки Atera на устройство угрожающий агент получает доступ к устройству и может свободно работать.

Основные инструменты состоят из инструментов удаленного администрирования (RAT), которые позволяют контролировать взломанные устройства; к ним относятся Atera, Splashtop, Syncro и AnyDesk. Эти инструменты также обеспечивают субъектам угроз некоторую избыточность и устойчивость: если один из RAT удаляется из системы, он может быть переустановлен другими.

Дополнительные инструменты, используемые группой, включают готовые инструменты, такие как SoftPerfect Network Scanner, SharpShares и
Rclone. Эти инструменты хранятся на взломанных машинах под вымышленными именами, маскируясь под легитимные двоичные файлы. Эти инструменты, в дополнение к RAT, предоставляют субъектам угрозы средства для проведения базовой разведки, доступа к дополнительным доступным ресурсам и утечки данных из взломанных сетей.

Indicators of Compromise

IPv4

  • 104.168.135.71
  • 104.168.164.244
  • 104.168.171.104
  • 104.168.171.231
  • 104.168.201.100
  • 104.168.201.121
  • 104.168.201.129
  • 104.168.201.87
  • 104.168.204.231
  • 104.168.218.242
  • 142.11.206.153
  • 142.11.209.198
  • 142.11.215.104
  • 142.11.215.212
  • 142.11.215.25
  • 192.119.110.112
  • 192.119.110.166
  • 192.119.110.22
  • 192.119.110.47
  • 192.119.111.197
  • 192.119.111.21
  • 192.119.111.25
  • 192.119.111.51
  • 192.236.147.234
  • 192.236.155.102
  • 192.236.155.103
  • 192.236.155.106
  • 192.236.155.138
  • 192.236.155.151
  • 192.236.155.243
  • 192.236.155.81
  • 192.236.160.132
  • 192.236.176.197
  • 192.236.176.199
  • 192.236.176.79
  • 192.236.177.18
  • 192.236.177.20
  • 192.236.177.251
  • 192.236.178.135
  • 192.236.178.3
  • 192.236.179.217
  • 192.236.179.76
  • 192.236.192.2
  • 192.236.192.215
  • 192.236.192.33
  • 192.236.192.69
  • 192.236.192.73
  • 192.236.192.84
  • 192.236.192.9
  • 192.236.193.140
  • 192.236.193.141
  • 192.236.193.148
  • 192.236.193.149
  • 192.236.193.150
  • 192.236.193.151
  • 192.236.193.152
  • 192.236.193.171
  • 192.236.193.182
  • 192.236.193.81
  • 192.236.193.86
  • 192.236.194.113
  • 192.236.194.2
  • 192.236.194.31
  • 192.236.194.42
  • 192.236.195.42
  • 192.236.195.74
  • 192.236.195.83
  • 192.236.198.22
  • 192.236.198.23
  • 192.236.199.2
  • 192.236.208.44
  • 192.236.208.56
  • 192.236.209.34
  • 192.236.209.36
  • 192.236.249.75
  • 192.236.249.76
  • 192.236.249.78
  • 192.236.249.79
  • 192.236.249.80
  • 198.54.117.244
  • 23.238.40.28
  • 23.238.40.29
  • 23.238.40.30
  • 23.238.40.31
  • 23.238.40.32
  • 23.254.227.79
  • 23.254.228.211
  • 23.254.229.90

Domains

  • acsyruse.xyz
  • adipiscing.xyz
  • aedcc.xyz
  • aeecc.xyz
  • aeedo.xyz
  • aeocc.xyz
  • aeucc.xyz
  • aliuuip.xyz
  • allduolingo.com
  • alloout.xyz
  • allredoo.xyz
  • allreedo.xyz
  • aredo.xyz
  • caaof.xyz
  • caaog.xyz
  • caaom.xyz
  • caaon.xyz
  • caaor.xyz
  • cookingbyzoho.com
  • cookingzoho.com
  • cook-masterclass.com
  • cookwithzoho.com
  • deerunt.xyz
  • deserunt.xyz
  • dictumst.xyz
  • duolingoclass.com
  • duolingo-class.com
  • duo-lingo-class.com
  • duolingoeducation.com
  • duolingoit.com
  • duolingo-it.com
  • duolingoitalian.com
  • duolingo-italianclass.com
  • duolingoitclass.com
  • duuis.xyz
  • eceee.xyz
  • educationduolingo.com
  • eeeaa.xyz
  • eesse.xyz
  • fringilla.xyz
  • germanbyduolingo.com
  • italian-duolingo.com
  • maaasy.xyz
  • maaays.xyz
  • masaay.xyz
  • massay.xyz
  • masterclass-chef.com
  • masterclass-cook.com
  • masterclasscooking.com
  • masterclass-design.com
  • masterclassgold.com
  • masterzohoclass.com
  • masyaa.xyz
  • maysaa.xyz
  • mczoho.com
  • molesste.xyz
  • molestie.xyz
  • moolit.xyz
  • msaaay.xyz
  • myaaas.xyz
  • myaasa.xyz
  • myasaa.xyz
  • nostuud.xyz
  • premiumduolingo.com
  • proodee.xyz
  • studyduolingo.com
  • studyzoho.com
  • subscriptionduolingo.com
  • tincidunt.xyz
  • tincidut.xyz
  • ullamm.xyz
  • ultrices.xyz
  • veelit.xyz
  • volutpat.xyz
  • yourduolingo.com
  • zohoclasspro.com
  • zohocook.com
  • zohocooking.com
  • zohocookingclass.com
  • zohocookingmeals.com
  • zohoduolingo.com
  • zohokitchen.com
  • zohokitchenmaster.com
  • zoholanguage.com
  • zoholanguageclass.com
  • zohomclass.com
  • zohoteaching.com
  • zohoteachingmaster.com
SEC-1275-1
Добавить комментарий