被稱為Luna Moth的數據盜竊勒索組織，又名Silent Ransom group，已經加大了對美國法律和金融機構的回調網絡釣魚攻擊力度。

據 EclecticIQ 研究員 Arda Büyükkaya 稱，這些攻擊的最終目的是竊取數據和實施勒索。

Luna Moth，內部稱為 Silent Ransom Group，他們之前曾發起 BazarCall 活動，以便為 Ryuk 獲取公司網絡的初始訪問權限，后來又發起 Conti 勒索軟件攻擊。

2022年3月，隨著Conti開始關閉，BazarCall威脅組織從Conti集團中分離出來，成立了一個名為Silent Ransom Group （SRG）的新組織。

Luna moth最近的攻擊包括通過電子郵件、虛假網站和電話冒充IT支持人員，并且完全依賴社會工程和欺騙，在任何情況下都沒有部署勒索軟件。

據安全公司評估，截至2025年3月，Luna Moth可能已經通過GoDaddy注冊了至少37個域名，以支持其回調網絡釣魚活動。

這些域名中的大多數都是美國主要律師事務所和金融服務公司的IT幫助臺或支持門戶，使用的是鍵入的模式。

Luna Moth在過去12個月的目標

elecectiq發現的最新活動始于2025年3月，目標是美國的組織，這些組織發送惡意電子郵件，其中包含假的號碼，收件人被敦促撥打電話解決不存在的問題。

一名Luna Moth操作員冒充IT人員接聽電話，并說服受害者安裝來自假IT幫助臺網站的遠程監控和管理（RMM）軟件，使攻擊者能夠遠程訪問他們的機器。

虛假的幫助臺網站使用域名，這些域名遵循像[company_name]-helpdesk.com和[company_name]helpdesk.com這樣的命名模式。

虛假IT支持網站

在這些攻擊中被濫用的工具包括Syncro、SuperOps、Zoho Assist、Atera、AnyDesk和Splashtop。這些都是合法的數字簽名工具，所以它們不太可能觸發對受害者的任何警告。

一旦安裝了RMM工具，攻擊者就可以動手訪問鍵盤，允許他們傳播到其他設備并搜索本地文件和共享驅動器以獲取敏感數據。

找到有價值的文件后，他們使用WinSCP（通過SFTP）或Rclone（云同步）將這些文件泄露到攻擊者控制的基礎設施中。

數據被盜后，Luna Moth聯系受害組織，威脅要在其清晰網域名上公開泄露數據，除非他們支付贖金。每個受害者的贖金金額各不相同，從100萬美元到800萬美元不等。

Luna Moth的勒索網站

Büyükkaya評論了這些攻擊的隱蔽性，指出它們不涉及惡意軟件、惡意附件或惡意軟件網站的鏈接。受害者只是自己安裝RMM工具，認為他們正在接受幫助臺的支持。由于企業通常使用這些RMM工具，因此它們不會被安全軟件標記為惡意工具，并允許運行，建議考慮限制在組織環境中不使用的RMM工具的執行。

參考及來源：https://www.bleepingcomputer.com/news/security/luna-moth-extortion-hackers-pose-as-it-help-desks-to-breach-us-firms/