Luna Moth Kimdir?
Luna Moth’un hedefleri nelerdir?
Nasıl saldırıyorlar?
Saldırılardaki kullanılan araçlar nelerdir?
Veri hırsızlığı süreçleri nasıl işliyor?
Saldırılara karşı nasıl önlemler alabiliriz?
Luna Moth’un hedefleri nelerdir?
Luna Moth, özellikle hukuk ve finans kurumlarını hedef alarak, onları veri hırsızlığı ve şantaj ile tehdit eden bir siber suç grubudur. Son yıllarda, Amerika Birleşik Devletleri’ndeki birçok kurumu etkileyen bu grup, saldırılarında çok çeşitli taktikler kullanmaktadır. Yüksek olasılıkla, en az 37 farklı alan adı kaydetmiş olan Luna Moth, bu alan adları aracılığıyla callback phishing kampanyaları düzenleyerek potansiyel kurbanlarına ulaşmaktadır.
Bu grup, hedeflerinin itibarını zedeleyerek ve gizli bilgilerini ele geçirerek onları maddi taleplerde bulunmak amacıyla yönlendirmektedir. Luna Moth’un hedefleri arasında büyük hukuk firmaları ve finans hizmetleri yer alıyor. Bu tür kurumların hassas verileri, saldırganların dikkatini çeker çünkü bu veriler üzerinden ciddi mali kazançlar elde edilebilir.
Nasıl saldırıyorlar?
Luna Moth’un düzenlediği saldırılar, genellikle sosyal mühendislik tekniklerine dayanıyor. Saldırganlar, kurbanları tuzağa düşürmek için IT destek personeli gibi davranıyor. E-posta, sahte web siteleri ve telefon görüşmeleri gibi çeşitli yöntemlerle, kurbanları sahte yardım hatlarını aramaya teşvik ediyorlar. Bu kişiler, sahte bir IT destek ekibi gibi görünerek kurbanlarını ikna ediyor ve uzaktan erişim yazılımlarını (RMM) kurmalarını sağlıyorlar. Bunu, olmayan sorunlarını çözmek gerekçesiyle üstleniyorlar.
Bu tür saldırılarda, genellikle ransomware (fidye yazılımı) kullanılmadığı görülüyor. Bunun yerine, kurbanların kendilerinin zararlı yazılımları indirmesi sağlanmakta. Saldırganlar, bu durumdan faydalanarak bilgisayarlara bağlanmakta ve uzaktan erişim sağlamaktadır.
Saldırılardaki kullanılan araçlar nelerdir?
Luna Moth, saldırılarında genellikle Syncro, SuperOps, Zoho Assist, Atera, AnyDesk ve Splashtop gibi meşru yazılımlar kullanmaktadır. Bu araçlar, önceden dijital olarak imzalanmış olduğu için kurbanların güvenlik yazılımları tarafından zararlı olarak tespit edilmesi olasılığı düşüktür.
Kullanılan bu yazılımlar, saldırganların kurban bilgisayarlarına uzaktan erişim sağlama imkanını sunmakta, böylece kurbanların dosyalarına ve paylaşılan sürücülerine ulaşarak hassas bilgileri aramalarına olanak tanımaktadır. Bu durum, saldırganların kurbanın verilerine doğrudan erişim sağlamalarını kolaylaştırır.
Veri hırsızlığı süreçleri nasıl işliyor?
Bir ranvarızın kurbanını sanal bir IT destek merkezi olarak ikna ettikten sonra, saldırgan kurbanının bilgisayarına uzaktan izleme ve yönetim yazılımı kurdurur. Bu yazılımı kuran saldırgan, kurbanın bilgisayarına tam erişim sağlar. Kurban, aslında IT desteği aldığını düşünerek gerekli yazılımı kurduğu için bir tehlikenin farkında değildir.
Luna Moth, bu aşamada çok dikkatli davranmakta ve kurbanların bilgisayarlarındaki önemli dosyaları tespit ettikten sonra, bu dosyaları kendi kontrolündeki sunuculara göndermek için WinSCP veya Rclone gibi araçları kullanmaktadır. Bu süreçte, hiçbir zararlı yazılım kullanmamak, kurbanların durumdan habersiz kalması açısından büyük bir avantaj sağlamaktadır.
Saldırılara karşı nasıl önlemler alabiliriz?
Luna Moth gibi gruplara karşı savunma, birkaç temel strateji ile gerçekleştirilebilir. Öncelikle, IT departmanları, çalışanlara düzenli eğitimler vererek sosyal mühendislik saldırılarına karşı farkındalık yaratmalıdır. Bu tür kampanyalarda aldıkları e-postaları ve gelen telefonları dikkatlice değerlendirmeleri konusunda bilgilendirilmelidirler.
Kuruluşlar ayrıca, kullanılmayan RMM araçlarının çalıştırılmasını kısıtlayan politikalar geliştirmelidir. Böylece, saldırganların bu tür yazılımları kullanarak iç ağlara erişme şansı azaltılabilir. Önerilen IP adreslerinin ve phishing alan adlarının blacklist’e eklenmesi de önemli bir adım olacaktır.
Ek olarak, çalışanların bilgisayarlarına uzaktan erişim sağlanmasına ilişkin yetkilerin sınırlandırılması ve bu tür erişimlerin izlenmesi önemlidir. Bunun yanı sıra, tüm güvenlik yazılımlarının güncel tutulması ve gerekli güncellemelerin yapılması, sistemlerin güvenliğini artıracaktır.
Sonuç olarak, Luna Moth ve benzeri gruplara karşı etkili bir savunma mekanizması oluşturmak, organizasyonların veri güvenliğini artıracak ve siber saldırılara karşı daha dayanıklı hale getirecektir.
