Luna Moth Phishing-Angriff

Das US-amerikanische Federal Bureau of Investigation (FBI) warnt vor Social-Engineering-Angriffen einer Gruppe namens Luna Moth. Diese Erpressergruppe hat es seit zwei Jahren auf Anwaltskanzleien abgesehen und nutzt eine Kombination aus Phishing-E-Mails und Social Engineering per Telefon, um vertrauliche Daten zu stehlen und Zahlungen zu fordern.

So funktionieren sie: Das Callback-Phishing-Playbook

Luna Moth, auch bekannt als Chatty Spider, Silent Ransom Group (SRG), Storm-0252 und UNC3753, ist seit mindestens 2022 aktiv. Die Malware nutzt hauptsächlich eine Taktik namens Callback-Phishing oder „Telephone-Oriented Attack Delivery“ (TOAD). Die harmlos wirkenden Phishing-E-Mails, die sich um Rechnungen und Abonnements drehen, verleiten Empfänger dazu, eine Telefonnummer anzurufen, um eine Zahlung oder ein Abonnement zu „stornieren“.

Während dieser Anrufe fordern die Angreifer das Opfer auf, ein Fernzugriffsprogramm zu installieren, wodurch sie unbefugten Zugriff auf die Systeme erhalten. Mit der Kontrolle über diese Geräte sammeln die Angreifer vertrauliche Informationen und erpressen anschließend, um zu verhindern, dass die Daten an andere Cyberkriminelle weitergegeben oder verkauft werden.

Von BazarCall bis IT-Identitätsmissbrauch

Es handelt sich um dieselbe Crew, die hinter früheren BazarCall -Kampagnen steckte, die Ransomware wie Conti verbreiteten. Seit der Schließung von Conti hat Luna Moth seine Bemühungen verstärkt. Seit März 2025 haben sie ihre Strategie weiterentwickelt und rufen gezielt Personen an, die sich als Mitarbeiter der IT-Abteilung ausgeben. Mit diesem Ansatz werden Mitarbeiter dazu manipuliert, an einer Fernzugriffssitzung teilzunehmen, oft unter dem Vorwand, nächtliche Wartungsarbeiten durchzuführen.

Werkzeuge des Handels: Sich in legitime Software einfügen

Sobald der Zugriff gewährt wurde, erhöht Luna Moth die Berechtigungen und verwendet legitime Tools, um Daten zu exfiltrieren:

• Rclone
• WinSCP
• Zoho Assist
• Syncro
• AnyDesk
• Spritzschutz
• Atera

Da es sich um echte Systemverwaltungs- und Fernzugriffstools handelt, entgehen sie oft der Erkennung durch Sicherheitstools. Verfügt das kompromittierte Gerät nicht über Administratorrechte, wird WinSCP Portable verwendet, um die gestohlenen Daten zu extrahieren. Obwohl es sich um eine neue Taktik handelt, hat sie sich als bemerkenswert effektiv erwiesen und zu mehreren erfolgreichen Kompromittierungen geführt.

Anzeichen von Problemen: Anzeichen eines Luna-Motten-Angriffs

Cybersicherheitsmitarbeiter sollten auf bestimmte Warnsignale achten:

• Unerwartete E-Mails oder Voicemails einer anonymen Gruppe, die Datendiebstahl behauptet.
• E-Mails bezüglich Abonnementverlängerungen, die einen Telefonanruf erfordern, um Gebühren zu vermeiden.
• Unerwünschte Anrufe von angeblichen IT-Mitarbeitern, die auf Fernzugriff auf Ihr Gerät drängen.
• Verdächtige Verbindungen über WinSCP oder Rclone zu externen IP-Adressen.

Hochtempo-Angriffe und Helpdesk-Spoofing

Untersuchungen zeigen, dass Luna Moths hochfrequente Callback-Phishing-Kampagnen sich auf den Rechts- und Finanzsektor der USA konzentrieren. Sie nutzen Plattformen wie Reamaze Helpdesk und andere Remote-Desktop-Software. Allein im März 2025 registrierte Luna Moth mindestens 37 Domains über GoDaddy. Die meisten dieser Domains fälschen die IT-Helpdesks und Support-Portale der Zielorganisationen.

Diese Helpdesk-Domains beginnen typischerweise mit dem Namen des betroffenen Unternehmens. Die Angreifer nutzen eine kleine Anzahl von Registraren und Nameserver-Anbietern, wobei domaincontrol.com am häufigsten vorkommt.

Bleiben Sie wachsam!

Die Kampagnen von Luna Moth unterstreichen die Notwendigkeit höchster Wachsamkeit. Durch die Kombination grundlegender Tools mit Social Engineering und Domain-Spoofing umgehen sie viele Abwehrmechanismen und gefährden sensible Daten. Das Erkennen ihrer Taktiken ist der erste Schritt zum Schutz.