Luna Moth Phishing Attack
अमेरिकी संघीय अनुसन्धान ब्यूरो (एफबीआई) ले लुना मोथ नामक समूहले सुरु गरेको सामाजिक इन्जिनियरिङ आक्रमणको बारेमा चेतावनी जारी गरेको छ। यो आपराधिक जबरजस्ती रकम असुल्ने अभिनेताले विगत दुई वर्षदेखि कानुनी फर्महरूलाई लक्षित गर्दै आएको छ, फिसिङ इमेलहरू र फोन-आधारित सामाजिक इन्जिनियरिङको मिश्रण प्रयोग गरेर संवेदनशील डेटा चोरी गर्न र भुक्तानी माग गर्न।
सामग्रीको तालिका
तिनीहरूले कसरी काम गर्छन्: कलब्याक फिसिङ प्लेबुक
लुना मोथ, जसलाई च्याटी स्पाइडर, साइलेन्ट र्यान्सम ग्रुप (SRG), स्टर्म-०२५२, र UNC३७५३ पनि भनिन्छ, कम्तिमा २०२२ देखि सक्रिय छ। यो मुख्यतया कलब्याक फिसिङ वा टेलिफोन-उन्मुख आक्रमण डेलिभरी (TOAD) भनिने रणनीतिमा निर्भर गर्दछ। यसको फिसिङ इमेलहरू, जुन हानिरहित देखिन्छन् र इनभ्वाइस र सदस्यताहरू वरिपरि घुम्छन्, प्राप्तकर्ताहरूलाई भुक्तानी वा सदस्यता 'रद्द' गर्न फोन नम्बरमा कल गर्न झुक्याउँछन्।
यी कलहरूको समयमा, आक्रमणकारीहरूले पीडितलाई रिमोट एक्सेस प्रोग्राम स्थापना गर्न निर्देशन दिन्छन्, जसले गर्दा उनीहरूको प्रणालीमा अनधिकृत पहुँच प्राप्त हुन्छ। यी उपकरणहरूको नियन्त्रणको साथ, धम्की दिने व्यक्तिहरूले संवेदनशील जानकारी सङ्कलन गर्छन् र डेटा लीक हुन वा अन्य साइबर अपराधीहरूलाई बेच्नबाट रोक्नको लागि जबरजस्ती रकम असुलीको मागहरूको पालना गर्छन्।
बजारकल देखि आईटी प्रतिरूपण सम्म
यो अघिल्ला बजारकल अभियानहरूको पछाडि उही टोली हो जसले Cont i जस्ता ransomware फैलाएको थियो। Conti को बन्द भएदेखि, Luna Moth ले आफ्नो प्रयासलाई तीव्र बनाएको छ। उल्लेखनीय रूपमा, मार्च २०२५ सम्म, तिनीहरूले लक्षित व्यक्तिहरूलाई सिधै फोन गरेर, IT विभागका कर्मचारीहरूको रूपमा प्रस्तुत गरेर आफ्नो रणनीति विकास गरेका छन्। यो दृष्टिकोणले कर्मचारीहरूलाई रिमोट एक्सेस सत्रमा सामेल हुन हेरफेर गर्छ, प्रायः रातभर मर्मतसम्भार गर्ने आडमा।
व्यापारका उपकरणहरू: वैध सफ्टवेयरसँग मिलाएर
एक पटक पहुँच प्रदान गरिसकेपछि, लुना मोथले विशेषाधिकारहरू बढाउँछ र डेटा निकाल्न वैध उपकरणहरू प्रयोग गर्दछ:
- रक्लोन
- विनएससीपी
- जोहो असिस्ट
- सिङ्क्रो
- एनीडेस्क
- स्प्लासटप
- अटेरा
किनभने यी वास्तविक प्रणाली व्यवस्थापन र रिमोट पहुँच उपकरणहरू हुन्, तिनीहरू प्रायः सुरक्षा उपकरणहरूद्वारा पत्ता लगाउनबाट बच्छन्। यदि सम्झौता गरिएको उपकरणमा प्रशासक विशेषाधिकारको कमी छ भने, चोरी गरिएको डेटा लुकाउन WinSCP पोर्टेबल प्रयोग गरिन्छ। हालैको रणनीति भए पनि, यो उल्लेखनीय रूपमा प्रभावकारी साबित भएको छ, जसले गर्दा धेरै सफल सम्झौताहरू भएका छन्।
समस्याका संकेतहरू: लुना मथ आक्रमणका संकेतहरू
साइबर सुरक्षा अपरेटरहरूले केही खतराहरूको लागि सतर्क हुनुपर्छ:
- डेटा चोरीको दाबी गर्ने नाम नखुलाइएको समूहबाट अप्रत्याशित इमेल वा भ्वाइसमेलहरू।
- शुल्कबाट बच्न फोन कल आवश्यक पर्ने सदस्यता नवीकरण सम्बन्धी इमेलहरू।
- तपाईंको उपकरणमा रिमोट पहुँचको लागि आग्रह गर्दै कथित IT कर्मचारीहरूबाट अनावश्यक फोन कलहरू।
- WinSCP वा Rclone मार्फत बाह्य IP ठेगानाहरूमा गरिएका शंकास्पद जडानहरू।
उच्च गतिको आक्रमण र हेल्पडेस्क स्पुफिङ
अनुसन्धानले लुना मोथको 'हाई-टेम्पो' कलब्याक फिसिङ अभियानहरू अमेरिकाको कानुनी र वित्तीय क्षेत्रहरूमा केन्द्रित रहेको देखाउँछ। तिनीहरू Reamaze हेल्पडेस्क र अन्य रिमोट डेस्कटप सफ्टवेयर जस्ता प्लेटफर्महरू प्रयोग गरिरहेका छन्। मार्च २०२५ मा मात्र, लुना मोथले GoDaddy मार्फत कम्तिमा ३७ डोमेनहरू दर्ता गरे। यी डोमेनहरूमध्ये धेरैजसोले लक्षित संस्थाहरूको IT हेल्पडेस्क र समर्थन पोर्टलहरूलाई नक्कल गर्छन्।
यी हेल्पडेस्क-थीम भएका डोमेनहरू सामान्यतया लक्षित व्यवसायको नामबाट सुरु हुन्छन्। आक्रमणकारीहरू थोरै संख्यामा रजिस्ट्रारहरू र नेमसर्भर प्रदायकहरूमा भर पर्छन्, जसमा domaincontrol.com सबैभन्दा सामान्य हो।
सतर्क रहनुहोस्!
लुना मोथका अभियानहरूले सतर्कताको महत्वपूर्ण आवश्यकतालाई प्रकाश पार्छन्। सामाजिक इन्जिनियरिङ र डोमेन स्पूफिङसँग आधारभूत उपकरणहरू मिसाएर, तिनीहरूले धेरै प्रतिरक्षाहरूलाई बाइपास गर्छन् र संवेदनशील डेटालाई जोखिममा पार्छन्। तिनीहरूको रणनीति पहिचान गर्नु सुरक्षित रहनको लागि पहिलो चरण हो।
