Luna Moth Phishing Attack

ការិយាល័យស៊ើបអង្កេតសហព័ន្ធអាមេរិក (FBI) បានចេញការព្រមានអំពីការវាយប្រហារផ្នែកវិស្វកម្មសង្គម ដែលធ្វើឡើងដោយក្រុមមួយដែលមានឈ្មោះថា Luna Moth ។ តួអង្គជំរិតទារប្រាក់ឧក្រិដ្ឋជននេះបានកំណត់គោលដៅក្រុមហ៊ុនច្បាប់អស់រយៈពេល 2 ឆ្នាំកន្លងមកនេះ ដោយប្រើការបញ្ចូលគ្នានៃអ៊ីមែលបន្លំ និងវិស្វកម្មសង្គមផ្អែកលើទូរស័ព្ទ ដើម្បីលួចទិន្នន័យរសើប និងទាមទារការទូទាត់។

របៀបដែលពួកគេដំណើរការ៖ សៀវភៅហៅទូរស័ព្ទបន្លំ

Luna Moth ដែលត្រូវបានគេស្គាល់ថាជា Chatty Spider, Silent Ransom Group (SRG), Storm-0252, និង UNC3753 បានដំណើរការតាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2022។ វាពឹងផ្អែកជាចម្បងលើយុទ្ធសាស្ត្រហៅថា callback phishing ឬការបញ្ជូនការវាយប្រហារតាមទូរស័ព្ទ (TOAD)។ អ៊ីមែលបន្លំរបស់វា ដែលមើលទៅគ្មានគ្រោះថ្នាក់ និងវិលជុំវិញវិក្កយបត្រ និងការជាវ បញ្ឆោតអ្នកទទួលឱ្យហៅទៅលេខទូរសព្ទដើម្បី 'បោះបង់' ការបង់ប្រាក់ ឬការជាវ។

ក្នុងអំឡុងពេលនៃការហៅទូរសព្ទទាំងនេះ អ្នកវាយប្រហារណែនាំជនរងគ្រោះឱ្យដំឡើងកម្មវិធីចូលប្រើពីចម្ងាយ ដោយទទួលបានសិទ្ធិចូលប្រើប្រព័ន្ធរបស់ពួកគេដោយគ្មានការអនុញ្ញាត។ ជាមួយនឹងការគ្រប់គ្រងឧបករណ៍ទាំងនេះ តួអង្គគំរាមកំហែងប្រមូលព័ត៌មានរសើប និងតាមដានការទាមទារជំរិតទារប្រាក់ ដើម្បីការពារទិន្នន័យពីការលេចធ្លាយ ឬលក់ទៅឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតផ្សេងទៀត។

ពី BazarCall ទៅ IT ក្លែងបន្លំ

នេះគឺជានាវិកដូចគ្នានៅពីក្រោយយុទ្ធនាការ BazarCall ពីមុនដែលរីករាលដាល ransomware ដូចជា Cont i ។ ចាប់តាំងពីការបិទ Conti មក Luna Moth បានបង្កើនកិច្ចខិតខំប្រឹងប្រែងរបស់ពួកគេ។ គួរកត់សម្គាល់ថា គិតត្រឹមខែមីនា ឆ្នាំ 2025 ពួកគេបានវិវឌ្ឍន៍យុទ្ធសាស្ត្ររបស់ពួកគេ ដោយហៅបុគ្គលគោលដៅដោយផ្ទាល់ ដោយធ្វើជាបុគ្គលិកផ្នែកព័ត៌មានវិទ្យា។ វិធីសាស្រ្តនេះរៀបចំបុគ្គលិកឱ្យចូលរួមក្នុងវគ្គចូលប្រើពីចម្ងាយ ដែលជារឿយៗស្ថិតក្រោមការដឹកនាំនៃការថែទាំពេញមួយយប់។

ឧបករណ៍នៃពាណិជ្ជកម្ម៖ បញ្ចូលគ្នាជាមួយកម្មវិធីស្របច្បាប់

នៅពេលដែលការចូលប្រើត្រូវបានផ្តល់សិទ្ធិ Luna Moth បង្កើនសិទ្ធិ និងប្រើប្រាស់ឧបករណ៍ស្របច្បាប់ដើម្បីដកទិន្នន័យចេញ៖

• Rclone
• WinSCP
• Zoho Assist
• សមកាលកម្ម
• AnyDesk
• Splashtop
• អាតេរ៉ា

ដោយសារតែទាំងនេះគឺជាការគ្រប់គ្រងប្រព័ន្ធពិតប្រាកដ និងឧបករណ៍ចូលប្រើពីចម្ងាយ ពួកគេតែងតែគេចពីការរកឃើញដោយឧបករណ៍សុវត្ថិភាព។ ប្រសិនបើឧបករណ៍ដែលត្រូវបានសម្របសម្រួលខ្វះសិទ្ធិគ្រប់គ្រង នោះ WinSCP ចល័តត្រូវបានប្រើដើម្បីលួចយកទិន្នន័យដែលបានលួច។ ថ្វីត្បិតតែជាយុទ្ធសាស្ត្រថ្មីៗក៏ដោយ វាបានបង្ហាញពីប្រសិទ្ធភាពគួរឱ្យកត់សម្គាល់ ដែលនាំទៅដល់ការសម្របសម្រួលជោគជ័យជាច្រើន។

សញ្ញានៃបញ្ហា៖ សូចនាករនៃការវាយប្រហាររបស់ Luna Moth

ប្រតិបត្តិករសុវត្ថិភាពតាមអ៊ីនធឺណិតគួរតែមើលទង់ក្រហមមួយចំនួន៖

• អ៊ីមែល ឬសារជាសំឡេងដែលមិនបានរំពឹងទុកពីក្រុមដែលមិនបញ្ចេញឈ្មោះដែលទាមទារការលួចទិន្នន័យ។
• អ៊ីមែល​ទាក់ទង​នឹង​ការ​បន្ត​ការ​ជាវ​ដែល​តម្រូវ​ឱ្យ​មាន​ការ​ហៅ​ទូរសព្ទ​ដើម្បី​ជៀសវាង​ការ​គិត​ថ្លៃ។
• ការហៅទូរសព្ទដែលមិនបានស្នើសុំពីបុគ្គលិក IT ដែលសន្មត់ថាជំរុញឱ្យមានការចូលប្រើពីចម្ងាយទៅកាន់ឧបករណ៍របស់អ្នក។
• ការតភ្ជាប់គួរឱ្យសង្ស័យដែលបានធ្វើឡើងតាមរយៈ WinSCP ឬ Rclone ទៅអាសយដ្ឋាន IP ខាងក្រៅ។

ការវាយលុកក្នុងកម្រិតខ្ពស់ និងការបន្លំជំនួយរបស់ Helpdesk

ការស្រាវជ្រាវបង្ហាញពីយុទ្ធនាការហៅបន្លំ 'ល្បឿនលឿន' របស់ Luna Moth ផ្តោតលើផ្នែកច្បាប់ និងហិរញ្ញវត្ថុរបស់សហរដ្ឋអាមេរិក ពួកគេកំពុងប្រើវេទិកាដូចជា Reamaze Helpdesk និងកម្មវិធីកុំព្យូទ័រពីចម្ងាយផ្សេងទៀត។ នៅក្នុងខែមីនា ឆ្នាំ 2025 តែម្នាក់ឯង Luna Moth បានចុះឈ្មោះយ៉ាងហោចណាស់ 37 domains តាមរយៈ GoDaddy ។ ភាគច្រើននៃដែនទាំងនេះក្លែងបន្លំផ្នែកជំនួយផ្នែកព័ត៌មានវិទ្យារបស់អង្គការគោលដៅ និងវិបផតថលគាំទ្រ។

ដែនដែលមានប្រធានបទ helpdesk ទាំងនេះជាធម្មតាចាប់ផ្តើមដោយឈ្មោះនៃអាជីវកម្មគោលដៅ។ អ្នកវាយប្រហារពឹងផ្អែកលើអ្នកចុះឈ្មោះមួយចំនួនតូច និងអ្នកផ្តល់សេវា nameserver ដោយ domaincontrol.com ជារឿងធម្មតាបំផុត។

ប្រុងប្រយ័ត្ន!

យុទ្ធនាការរបស់ Luna Moth បង្ហាញពីតម្រូវការសំខាន់សម្រាប់ការប្រុងប្រយ័ត្ន។ តាមរយៈការលាយបញ្ចូលឧបករណ៍ជាមូលដ្ឋានជាមួយវិស្វកម្មសង្គម និងការក្លែងបន្លំដែន ពួកគេឆ្លងកាត់ការការពារជាច្រើន ហើយដាក់ទិន្នន័យរសើបក្នុងហានិភ័យ។ ការទទួលស្គាល់យុទ្ធសាស្ត្ររបស់ពួកគេគឺជាជំហានដំបូងក្នុងការការពារ។