Хакеры из Luna Moth маскируются под ИТ-поддержку и атакуют компании в США, похищая данные

Группа хакеров, известная под названием Luna Moth, вновь привлекла к себе внимание, развернув серию атак на организации в сфере юриспруденции и финансов на территории Соединённых Штатов. Подменяя настоящие службы технической поддержки, преступники используют фальшивые звонки и электронные письма, чтобы ввести сотрудников компаний в заблуждение и получить доступ к их устройствам.

По информации, предоставленной Ардой Бююккая, аналитиком из EclecticIQ, действия злоумышленников направлены на получение конфиденциальной информации, которую они в дальнейшем используют с целью шантажа. Эксперт подчеркнул, что основным методом вторжения становится обман, построенный на психологическом давлении, а не вредоносное программное обеспечение. Подлинность атак подтверждается тем, что никакие вирусы-шифровальщики не применялись, хотя уровень угрозы остаётся крайне высоким.

Luna Moth, которая также фигурирует под именем Silent Ransom Group, ранее была связана с операцией BazarCall. Этот метод заключался в том, чтобы с помощью подставных звонков проникнуть в корпоративные сети, что в своё время помогло проводить атаки с использованием вирусов Ryuk и Conti. После того как Conti прекратила деятельность в марте 2022 года, связанные с ней операторы BazarCall вышли из состава синдиката и создали самостоятельную структуру — Silent Ransom Group.

Согласно отчёту EclecticIQ, с начала весны 2025 года наблюдается новая волна активности этой группировки. Хакеры, маскируясь под сотрудников поддержки, отправляют письма с указанием якобы служебных номеров. Потенциальные жертвы, попадаясь на уловку, звонят по указанным номерам, после чего преступники под видом ИТ-специалистов уговаривают их загрузить программы удалённого доступа с поддельных веб-страниц. Установленное таким образом ПО открывает киберпреступникам полный доступ к рабочим устройствам.

Аналитики EclecticIQ отмечают, что злоумышленники не просто используют электронные письма. В арсенале Luna Moth — десятки доменов, созданных через GoDaddy, которые внешне повторяют страницы поддержки крупных компаний. Как подчеркнул Арда Бююккая, подобная тактика основана на технике тайпсквоттинга — намеренной ошибке в написании популярных адресов, чтобы обмануть невнимательных пользователей.

Исследователи указали, что с начала марта было выявлено не менее 37 подобных доменов, все они ориентированы на обман сотрудников американских компаний. Особо подвержены риску юридические и финансовые структуры, чьи сотрудники часто взаимодействуют с системами дистанционного обслуживания и могут не распознать подмену.

Журналисты EclecticIQ подчёркивают, что несмотря на кажущуюся простоту схемы, атаки Luna Moth представляют собой серьёзную угрозу, поскольку обходят привычные защитные механизмы и действуют напрямую через человеческий фактор. Стратегия социальной манипуляции, используемая группой, делает её особенно опасной в условиях высокой цифровизации корпоративной среды.