Luna Moth Phishing Attack

यू.एस. फेडरल ब्यूरो ऑफ इन्वेस्टिगेशन (एफ.बी.आई.) ने लूना मॉथ नामक समूह द्वारा शुरू किए गए सोशल इंजीनियरिंग हमलों के बारे में चेतावनी जारी की है। यह आपराधिक जबरन वसूली करने वाला अभिनेता पिछले दो वर्षों से कानूनी फर्मों को निशाना बना रहा है, संवेदनशील डेटा चुराने और भुगतान की मांग करने के लिए फ़िशिंग ईमेल और फ़ोन-आधारित सोशल इंजीनियरिंग के मिश्रण का उपयोग कर रहा है।

वे कैसे काम करते हैं: कॉलबैक फ़िशिंग प्लेबुक

लूना मॉथ, जिसे चैटी स्पाइडर, साइलेंट रैनसम ग्रुप (SRG), स्टॉर्म-0252 और UNC3753 के नाम से भी जाना जाता है, कम से कम 2022 से सक्रिय है। यह मुख्य रूप से कॉलबैक फ़िशिंग या टेलीफ़ोन-ओरिएंटेड अटैक डिलीवरी (TOAD) नामक रणनीति पर निर्भर करता है। इसके फ़िशिंग ईमेल, जो हानिरहित दिखते हैं और चालान और सदस्यता के इर्द-गिर्द घूमते हैं, प्राप्तकर्ताओं को भुगतान या सदस्यता को 'रद्द' करने के लिए फ़ोन नंबर पर कॉल करने के लिए प्रेरित करते हैं।

इन कॉल के दौरान, हमलावर पीड़ित को रिमोट एक्सेस प्रोग्राम इंस्टॉल करने के लिए निर्देशित करते हैं, जिससे उनके सिस्टम तक अनधिकृत पहुँच प्राप्त होती है। इन उपकरणों पर नियंत्रण के साथ, धमकी देने वाले अभिनेता संवेदनशील जानकारी एकत्र करते हैं और डेटा को लीक होने या अन्य साइबर अपराधियों को बेचे जाने से रोकने के लिए जबरन वसूली की मांग करते हैं।

बाज़ार कॉल से लेकर आईटी प्रतिरूपण तक

यह वही क्रू है जो पिछले BazarCall अभियानों के पीछे था जो Cont i जैसे रैनसमवेयर फैलाते थे। Conti के बंद होने के बाद से, Luna Moth ने अपने प्रयासों को और तेज़ कर दिया है। उल्लेखनीय रूप से, मार्च 2025 तक, उन्होंने लक्षित व्यक्तियों को सीधे कॉल करके, IT विभाग के कर्मचारियों के रूप में प्रस्तुत करके अपनी रणनीति विकसित की है। यह दृष्टिकोण कर्मचारियों को अक्सर रात भर रखरखाव करने की आड़ में रिमोट एक्सेस सत्र में शामिल होने के लिए प्रेरित करता है।

व्यापार के उपकरण: वैध सॉफ्टवेयर के साथ मिश्रण

एक बार पहुंच प्रदान कर दिए जाने पर, लूना मॉथ विशेषाधिकारों को बढ़ा देता है और डेटा निकालने के लिए वैध उपकरणों का उपयोग करता है:

• आरक्लोन
• विनएससीपी
• ज़ोहो असिस्ट
• समकालीन बनानेवाला
• एनीडेस्क
• स्प्लैशटॉप
• अटेरा

चूँकि ये वास्तविक सिस्टम प्रबंधन और रिमोट एक्सेस टूल हैं, इसलिए वे अक्सर सुरक्षा उपकरणों द्वारा पता लगाने से बचते हैं। यदि समझौता किए गए डिवाइस में व्यवस्थापक विशेषाधिकार नहीं हैं, तो चोरी किए गए डेटा को बाहर निकालने के लिए WinSCP पोर्टेबल का उपयोग किया जाता है। हाल ही में अपनाई गई रणनीति होने के बावजूद, यह उल्लेखनीय रूप से प्रभावी साबित हुई है, जिससे कई सफल समझौता हुए हैं।

संकट के संकेत: लूना मॉथ के हमले के संकेत

साइबर सुरक्षा कार्यकर्ताओं को कुछ लाल झंडों पर नजर रखनी चाहिए:

• किसी अनाम समूह से अप्रत्याशित ईमेल या वॉयसमेल जिसमें डेटा चोरी का दावा किया गया हो।
• सदस्यता नवीनीकरण से संबंधित ईमेल जिसमें शुल्क से बचने के लिए फोन कॉल की आवश्यकता होती है।
• कथित आईटी कर्मचारियों द्वारा आपके डिवाइस तक दूरस्थ पहुंच का आग्रह करते हुए अनचाहे फोन कॉल।
• WinSCP या Rclone के माध्यम से बाहरी IP पतों पर बनाए गए संदिग्ध कनेक्शन।

हाई-टेम्पो हमले और हेल्पडेस्क स्पूफिंग

शोध से पता चलता है कि लूना मॉथ के 'हाई-टेम्पो' कॉलबैक फ़िशिंग अभियान अमेरिका के कानूनी और वित्तीय क्षेत्रों पर केंद्रित हैं। वे रीमेज़ हेल्पडेस्क और अन्य रिमोट डेस्कटॉप सॉफ़्टवेयर जैसे प्लेटफ़ॉर्म का उपयोग कर रहे हैं। अकेले मार्च 2025 में, लूना मॉथ ने गोडैडी के माध्यम से कम से कम 37 डोमेन पंजीकृत किए। इनमें से अधिकांश डोमेन लक्षित संगठनों के आईटी हेल्पडेस्क और सहायता पोर्टल को धोखा देते हैं।

ये हेल्पडेस्क-थीम वाले डोमेन आम तौर पर लक्षित व्यवसाय के नाम से शुरू होते हैं। हमलावर कुछ रजिस्ट्रार और नेमसर्वर प्रदाताओं पर निर्भर करते हैं, जिनमें से domaincontrol.com सबसे आम है।

सतर्क रहो!

लूना मॉथ के अभियान सतर्कता की महत्वपूर्ण आवश्यकता को उजागर करते हैं। सोशल इंजीनियरिंग और डोमेन स्पूफिंग के साथ मूलभूत उपकरणों को मिलाकर, वे कई सुरक्षा उपायों को दरकिनार कर देते हैं और संवेदनशील डेटा को जोखिम में डाल देते हैं। उनकी चालों को पहचानना सुरक्षित रहने का पहला कदम है।