«Алло, это ИТ-отдел. Поставьте AnyDesk, сейчас быстренько вам кое-что поправим»
Ни строчки вредоносного кода: хакеры поставили всё на социальную инженерию.
Атаки с использованием фишинговых звонков вновь привлекли внимание специалистов по информационной безопасности. На этот раз активизировалась группировка Luna Moth, также известная как Silent Ransom Group. Её целью стало получение доступа к внутренним системам юридических и финансовых организаций в США с последующим вымогательством через угрозу утечки данных. Новая волна атак началась в марте 2025 года и демонстрирует высокий уровень социальной инженерии без применения вредоносного ПО.
Сценарий атаки строится на имитации технической поддержки. Жертвы получают электронные письма с инструкцией позвонить в якобы корпоративный ИТ-отдел. После звонка злоумышленники убеждают установить на компьютер легитимное программное обеспечение для удалённого управления — такие инструменты, как AnyDesk, Atera, Syncro, Zoho Assist, Splashtop и другие. Эти программы подписаны цифровой подписью и не вызывают подозрений у средств защиты. Подключившись, атакующие получают прямой доступ к рабочей станции и могут изучать содержимое системы, сетевые диски и другие устройства в инфраструктуре.
По данным EclecticIQ, для маскировки применяются домены, схожие с адресами настоящих служб поддержки. Всего было зафиксировано не менее 37 таких доменных имён, зарегистрированных через GoDaddy. В большинстве случаев они используют поддельные названия, используя ключевые слова «helpdesk» или «support» с привязкой к конкретной компании, что позволяет успешно обманывать сотрудников организаций.
После получения доступа к данным злоумышленники загружают их на свои серверы с помощью утилит WinSCP и Rclone, а затем направляют угрозы в адрес пострадавших с требованием заплатить выкуп. За отказом следует обещание опубликовать похищенные данные на публичной странице Luna Moth. По сведениям EclecticIQ, суммы выкупа варьируются от одного до восьми миллионов долларов, в зависимости от значимости и масштаба украденной информации.
Особую опасность этих атак подчёркивает отсутствие вредоносных вложений или заражённых ссылок. Всё взаимодействие происходит в рамках легитимных каналов, а установка ПО осуществляется самими пользователями под видом получения помощи. Подобная схема серьёзно осложняет обнаружение инцидента и требует пересмотра политик безопасности внутри компаний. Среди рекомендуемых мер — блокировка неиспользуемых RMM-инструментов и внесение известных фишинговых доменов в чёрные списки.