被称为 Luna Moth 的数据盗窃勒索组织，又名 Silent Ransom group，已经加大了对美国法律和金融机构的回调网络钓鱼攻击力度。

据 EclecticIQ 研究员 Arda B ü y ü kkaya 称，这些攻击的最终目的是窃取数据和实施勒索。

Luna Moth，内部称为 Silent Ransom Group，他们之前曾发起 BazarCall 活动，以便为 Ryuk 获取公司网络的初始访问权限，后来又发起 Conti 勒索软件攻击。

2022 年 3 月，随着 Conti 开始关闭，BazarCall 威胁组织从 Conti 集团中分离出来，成立了一个名为 Silent Ransom Group （SRG）的新组织。

Luna moth 最近的攻击包括通过电子邮件、虚假网站和电话冒充 IT 支持人员，并且完全依赖社会工程和欺骗，在任何情况下都没有部署勒索软件。

据安全公司评估，截至 2025 年 3 月，Luna Moth 可能已经通过 GoDaddy 注册了至少 37 个域名，以支持其回调网络钓鱼活动。

这些域名中的大多数都是美国主要律师事务所和金融服务公司的 IT 帮助台或支持门户，使用的是键入的模式。

Luna Moth 在过去 12 个月的目标

elecectiq 发现的最新活动始于 2025 年 3 月，目标是美国的组织，这些组织发送恶意电子邮件，其中包含假的号码，收件人被敦促拨打电话解决不存在的问题。

一名 Luna Moth 操作员冒充 IT 人员接听电话，并说服受害者安装来自假 IT 帮助台网站的远程监控和管理（RMM）软件，使攻击者能够远程访问他们的机器。

虚假的帮助台网站使用域名，这些域名遵循像 [ company_name ] -helpdesk.com 和 [ company_name ] helpdesk.com 这样的命名模式。

虚假 IT 支持网站

在这些攻击中被滥用的工具包括 Syncro、SuperOps、Zoho Assist、Atera、AnyDesk 和 Splashtop。这些都是合法的数字签名工具，所以它们不太可能触发对受害者的任何警告。

一旦安装了 RMM 工具，攻击者就可以动手访问键盘，允许他们传播到其他设备并搜索本地文件和共享驱动器以获取敏感数据。

找到有价值的文件后，他们使用 WinSCP（通过 SFTP）或 Rclone（云同步）将这些文件泄露到攻击者控制的基础设施中。

数据被盗后，Luna Moth 联系受害组织，威胁要在其清晰网域名上公开泄露数据，除非他们支付赎金。每个受害者的赎金金额各不相同，从 100 万美元到 800 万美元不等。

Luna Moth 的勒索网站

B ü y ü kkaya 评论了这些攻击的隐蔽性，指出它们不涉及恶意软件、恶意附件或恶意软件网站的链接。受害者只是自己安装 RMM 工具，认为他们正在接受帮助台的支持。由于企业通常使用这些 RMM 工具，因此它们不会被安全软件标记为恶意工具，并允许运行，建议考虑限制在组织环境中不使用的 RMM 工具的执行。