MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
Cyber Security

Hackers Are Calling Your Office: FBI Alerts Law Firms


تحذير من FBI: مجموعة Luna Moth تستهدف مكاتب المحاماة بحملة تصيّد خفية

 التاريخ: 27 مايو 2025 |  المصدر: FBI، EclecticIQ

أصدرت مكتب التحقيقات الفيدرالي الأمريكي (FBI) تحذيرًا بشأن هجمات هندسة اجتماعية تُنَفَّذ من قبل جهة تهديد إجرامية تُعرف باسم Luna Moth، والتي تستهدف شركات المحاماة منذ أكثر من عامين.

تعتمد هذه الحملة على مكالمات هاتفية وهجمات تصيّد بالبريد الإلكتروني، تحت غطاء تقني، بهدف خداع الضحايا لتثبيت أدوات وصول عن بُعد، ما يسمح بسرقة البيانات الحساسة وابتزاز الضحايا لاحقًا.

من هي Luna Moth؟

تُعرف هذه المجموعة أيضًا بأسماء مثل: Chatty Spider، Silent Ransom Group (SRG)، Storm-0252، وUNC3753، وبدأت أنشطتها منذ عام 2022. وتشتهر بتقنية “Callback Phishing” أو ما يُعرف بـ الهجوم عبر الاتصال الهاتفي.

آلية الهجوم

يتلقى الضحايا بريدًا إلكترونيًا يبدو شرعيًا حول اشتراك مزعوم أو فاتورة، ويُطلب منهم الاتصال برقم هاتف لإلغاء العملية. أثناء المكالمة، يتم إرسال رابط للضحية لتنزيل برنامج تحكم عن بُعد. بمجرد التثبيت، يحصل المهاجمون على وصول كامل إلى النظام.

بعد الوصول، يتم سحب البيانات الحساسة، ثم تُرسل رسالة ابتزاز تطلب فدية لمنع تسريب المعلومات أو بيعها.

تطورات مارس 2025

أشار FBI إلى أن المجموعة غيرت أسلوبها مؤخرًا، حيث بات المهاجمون يتصلون بالضحايا مباشرةً، ويدّعون أنهم من قسم الدعم الفني التابع لشركتهم. ثم يوجهونهم للانضمام إلى جلسة تحكم عن بُعد عبر البريد أو صفحة ويب.

بعد منحهم الوصول، يستخدم المهاجمون أدوات شرعية مثل Rclone أو WinSCP لسحب البيانات، ما يصعّب اكتشافهم من قبل برامج الحماية.

أدوات مستخدمة في الحملة:

  • Zoho Assist
  • Syncro
  • AnyDesk
  • Splashtop
  • Atera
  • WinSCP Portable (في حال عدم وجود صلاحيات إدارية)

مؤشرات التحذير التي يجب الانتباه لها:

  • بريد إلكتروني أو بريد صوتي يحتوي على تهديد بنشر بيانات.
  • رسائل بشأن اشتراكات وهمية تتطلب اتصال هاتفي.
  • مكالمات من أشخاص يزعمون أنهم من قسم IT ويطلبون التحكم بجهازك.
  • اتصالات Rclone أو WinSCP صادرة إلى IP خارجي.

نطاقات تم تسجيلها للهجوم:

بحسب تقرير EclecticIQ، قام المهاجمون بتسجيل 37 نطاقًا مزيّفًا عبر GoDaddy، معظمها يقلد بوابات دعم المؤسسات المستهدفة مثل:
vorys-helpdesk[.]com، وغيرها.

++ تم إعداد هذا التقرير بهدف التوعية وتعزيز الدفاعات الإلكترونية للمؤسسات القانونية والمالية.