Luna Moth Phishing Attack
মার্কিন ফেডারেল ব্যুরো অফ ইনভেস্টিগেশন (এফবিআই) লুনা মথ নামে একটি গোষ্ঠীর দ্বারা পরিচালিত সোশ্যাল ইঞ্জিনিয়ারিং আক্রমণ সম্পর্কে একটি সতর্কতা জারি করেছে। এই অপরাধমূলক চাঁদাবাজি অভিনেতা গত দুই বছর ধরে আইন সংস্থাগুলিকে লক্ষ্য করে আসছেন, সংবেদনশীল তথ্য চুরি করতে এবং অর্থ দাবি করতে ফিশিং ইমেল এবং ফোন-ভিত্তিক সোশ্যাল ইঞ্জিনিয়ারিংয়ের মিশ্রণ ব্যবহার করে।
সুচিপত্র
তারা কীভাবে কাজ করে: কলব্যাক ফিশিং প্লেবুক
লুনা মথ, যা চ্যাটি স্পাইডার, সাইলেন্ট র্যানসম গ্রুপ (SRG), স্টর্ম-0252 এবং UNC3753 নামেও পরিচিত, কমপক্ষে ২০২২ সাল থেকে সক্রিয়। এটি মূলত কলব্যাক ফিশিং বা টেলিফোন-ভিত্তিক আক্রমণ ডেলিভারি (TOAD) নামক একটি কৌশলের উপর নির্ভর করে। এর ফিশিং ইমেলগুলি, যা দেখতে ক্ষতিকারক নয় এবং ইনভয়েস এবং সাবস্ক্রিপশনের চারপাশে ঘোরে, প্রাপকদের একটি ফোন নম্বরে কল করে একটি পেমেন্ট বা সাবস্ক্রিপশন 'বাতিল' করতে বাধ্য করে।
এই কলগুলির সময়, আক্রমণকারীরা ভুক্তভোগীকে একটি রিমোট অ্যাক্সেস প্রোগ্রাম ইনস্টল করতে নির্দেশ দেয়, যার ফলে তাদের সিস্টেমে অননুমোদিত অ্যাক্সেস পাওয়া যায়। এই ডিভাইসগুলির নিয়ন্ত্রণের মাধ্যমে, হুমকিদাতারা সংবেদনশীল তথ্য সংগ্রহ করে এবং তথ্য ফাঁস হওয়া বা অন্যান্য সাইবার অপরাধীদের কাছে বিক্রি হওয়া রোধ করার জন্য চাঁদাবাজির দাবি অনুসরণ করে।
বাজারকল থেকে আইটি ছদ্মবেশ ধারণ পর্যন্ত
এই একই দল পূর্ববর্তী বাজারকল প্রচারণার পিছনে রয়েছে যারা কন্ট আই-এর মতো র্যানসমওয়্যার ছড়িয়েছিল। কন্টি বন্ধ হওয়ার পর থেকে, লুনা মথ তাদের প্রচেষ্টা আরও তীব্র করেছে। উল্লেখযোগ্যভাবে, ২০২৫ সালের মার্চ পর্যন্ত, তারা আইটি বিভাগের কর্মচারী হিসেবে নিজেদেরকে সরাসরি লক্ষ্যবস্তু ব্যক্তিদের ফোন করে তাদের কৌশল তৈরি করেছে। এই পদ্ধতিটি কর্মীদেরকে দূরবর্তী অ্যাক্সেস সেশনে যোগদানের জন্য কৌশলগতভাবে ব্যবহার করে, প্রায়শই রাতের রক্ষণাবেক্ষণের আড়ালে।
ব্যবসায়ের সরঞ্জাম: বৈধ সফ্টওয়্যারের সাথে মিশে যাওয়া
একবার অ্যাক্সেস মঞ্জুর হয়ে গেলে, লুনা মথ সুবিধাগুলি বাড়িয়ে দেয় এবং ডেটা এক্সফিল্ট করার জন্য বৈধ সরঞ্জাম ব্যবহার করে:
- আরক্লোন
- WinSCP সম্পর্কে
- জোহো অ্যাসিস্ট
- সিঙ্ক্রো
- AnyDesk সম্পর্কে
- স্প্ল্যাশটপ
- আতেরা
যেহেতু এগুলো আসল সিস্টেম ম্যানেজমেন্ট এবং রিমোট অ্যাক্সেস টুল, তাই এগুলো প্রায়শই নিরাপত্তা টুল দ্বারা সনাক্তকরণ এড়ায়। যদি আপোস করা ডিভাইসে অ্যাডমিন সুবিধা না থাকে, তাহলে চুরি করা ডেটা চুরি করার জন্য WinSCP পোর্টেবল ব্যবহার করা হয়। সাম্প্রতিক কৌশল হওয়া সত্ত্বেও, এটি উল্লেখযোগ্যভাবে কার্যকর প্রমাণিত হয়েছে, যার ফলে একাধিক সফল আপোস হয়েছে।
সমস্যার লক্ষণ: লুনা মথ আক্রমণের সূচক
সাইবার নিরাপত্তা কর্মীদের কিছু সতর্কতার দিকে নজর রাখা উচিত:
- তথ্য চুরির দাবি করে একটি নামহীন গোষ্ঠীর অপ্রত্যাশিত ইমেল বা ভয়েসমেল।
- চার্জ এড়াতে ফোন কলের প্রয়োজন হয় এমন সাবস্ক্রিপশন পুনর্নবীকরণ সম্পর্কিত ইমেল।
- আপনার ডিভাইসে দূরবর্তী অ্যাক্সেসের জন্য অনুরোধ করে কথিত আইটি কর্মীদের কাছ থেকে অযাচিত ফোন কল।
- WinSCP বা Rclone এর মাধ্যমে বহিরাগত IP ঠিকানার সাথে সন্দেহজনক সংযোগ তৈরি করা হয়েছে।
উচ্চ-গতির আক্রমণ এবং হেল্পডেস্ক স্পুফিং
গবেষণায় দেখা গেছে, লুনা মথের 'হাই-টেম্পো' কলব্যাক ফিশিং ক্যাম্পেইনগুলি মার্কিন যুক্তরাষ্ট্রের আইনি ও আর্থিক খাতের উপর দৃষ্টি নিবদ্ধ করে। তারা রিমেজ হেল্পডেস্ক এবং অন্যান্য রিমোট ডেস্কটপ সফ্টওয়্যারের মতো প্ল্যাটফর্ম ব্যবহার করছে। শুধুমাত্র ২০২৫ সালের মার্চ মাসে, লুনা মথ GoDaddy-এর মাধ্যমে কমপক্ষে ৩৭টি ডোমেইন নিবন্ধন করেছে। এই ডোমেইনগুলির বেশিরভাগই লক্ষ্যবস্তু সংস্থাগুলির আইটি হেল্পডেস্ক এবং সহায়তা পোর্টালগুলিকে ফাঁকি দেয়।
এই হেল্পডেস্ক-থিমযুক্ত ডোমেনগুলি সাধারণত লক্ষ্যবস্তু ব্যবসার নাম দিয়ে শুরু হয়। আক্রমণকারীরা অল্প সংখ্যক রেজিস্ট্রার এবং নেমসার্ভার প্রদানকারীর উপর নির্ভর করে, যার মধ্যে domaincontrol.com সবচেয়ে সাধারণ।
সতর্ক থাকুন!
লুনা মথের প্রচারণাগুলি সতর্কতার গুরুত্বপূর্ণ প্রয়োজনীয়তা তুলে ধরে। সামাজিক প্রকৌশল এবং ডোমেন স্পুফিংয়ের সাথে মৌলিক সরঞ্জামগুলি মিশ্রিত করে, তারা অনেক প্রতিরক্ষা এড়িয়ে যায় এবং সংবেদনশীল তথ্যকে ঝুঁকির মধ্যে ফেলে। সুরক্ষিত থাকার প্রথম পদক্ষেপ হল তাদের কৌশলগুলি স্বীকৃতি দেওয়া।
