Luna Moth Phishing Attack
ਯੂਐਸ ਫੈਡਰਲ ਬਿਊਰੋ ਆਫ਼ ਇਨਵੈਸਟੀਗੇਸ਼ਨ (ਐਫਬੀਆਈ) ਨੇ ਲੂਨਾ ਮੋਥ ਨਾਮਕ ਇੱਕ ਸਮੂਹ ਦੁਆਰਾ ਸ਼ੁਰੂ ਕੀਤੇ ਗਏ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਹਮਲਿਆਂ ਬਾਰੇ ਚੇਤਾਵਨੀ ਜਾਰੀ ਕੀਤੀ ਹੈ। ਇਹ ਅਪਰਾਧਿਕ ਜਬਰਨ ਵਸੂਲੀ ਕਰਨ ਵਾਲਾ ਅਦਾਕਾਰ ਪਿਛਲੇ ਦੋ ਸਾਲਾਂ ਤੋਂ ਕਾਨੂੰਨ ਫਰਮਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਿਹਾ ਹੈ, ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਚੋਰੀ ਕਰਨ ਅਤੇ ਭੁਗਤਾਨ ਦੀ ਮੰਗ ਕਰਨ ਲਈ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਅਤੇ ਫੋਨ-ਅਧਾਰਤ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਦੇ ਮਿਸ਼ਰਣ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਉਹ ਕਿਵੇਂ ਕੰਮ ਕਰਦੇ ਹਨ: ਕਾਲਬੈਕ ਫਿਸ਼ਿੰਗ ਪਲੇਬੁੱਕ
ਲੂਨਾ ਮੌਥ, ਜਿਸਨੂੰ ਚੈਟੀ ਸਪਾਈਡਰ, ਸਾਈਲੈਂਟ ਰੈਨਸਮ ਗਰੁੱਪ (SRG), ਸਟੋਰਮ-0252, ਅਤੇ UNC3753 ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਘੱਟੋ-ਘੱਟ 2022 ਤੋਂ ਸਰਗਰਮ ਹੈ। ਇਹ ਮੁੱਖ ਤੌਰ 'ਤੇ ਕਾਲਬੈਕ ਫਿਸ਼ਿੰਗ ਜਾਂ ਟੈਲੀਫੋਨ-ਓਰੀਐਂਟਡ ਅਟੈਕ ਡਿਲੀਵਰੀ (TOAD) ਨਾਮਕ ਇੱਕ ਰਣਨੀਤੀ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ। ਇਸ ਦੀਆਂ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ, ਜੋ ਨੁਕਸਾਨ ਰਹਿਤ ਦਿਖਾਈ ਦਿੰਦੀਆਂ ਹਨ ਅਤੇ ਇਨਵੌਇਸਾਂ ਅਤੇ ਗਾਹਕੀਆਂ ਦੇ ਦੁਆਲੇ ਘੁੰਮਦੀਆਂ ਹਨ, ਪ੍ਰਾਪਤਕਰਤਾਵਾਂ ਨੂੰ ਭੁਗਤਾਨ ਜਾਂ ਗਾਹਕੀ 'ਰੱਦ' ਕਰਨ ਲਈ ਇੱਕ ਫ਼ੋਨ ਨੰਬਰ 'ਤੇ ਕਾਲ ਕਰਨ ਲਈ ਭਰਮਾਉਂਦੀਆਂ ਹਨ।
ਇਹਨਾਂ ਕਾਲਾਂ ਦੌਰਾਨ, ਹਮਲਾਵਰ ਪੀੜਤ ਨੂੰ ਇੱਕ ਰਿਮੋਟ ਐਕਸੈਸ ਪ੍ਰੋਗਰਾਮ ਸਥਾਪਤ ਕਰਨ ਲਈ ਮਾਰਗਦਰਸ਼ਨ ਕਰਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਉਹਨਾਂ ਦੇ ਸਿਸਟਮਾਂ ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਹੁੰਦੀ ਹੈ। ਇਹਨਾਂ ਡਿਵਾਈਸਾਂ ਦੇ ਨਿਯੰਤਰਣ ਨਾਲ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਦੇ ਹਨ ਅਤੇ ਡੇਟਾ ਨੂੰ ਲੀਕ ਹੋਣ ਜਾਂ ਹੋਰ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨੂੰ ਵੇਚਣ ਤੋਂ ਰੋਕਣ ਲਈ ਜਬਰੀ ਵਸੂਲੀ ਦੀਆਂ ਮੰਗਾਂ ਦੀ ਪਾਲਣਾ ਕਰਦੇ ਹਨ।
ਬਾਜ਼ਾਰਕਾਲ ਤੋਂ ਆਈਟੀ ਨਕਲ ਤੱਕ
ਇਹ ਉਹੀ ਟੀਮ ਹੈ ਜੋ ਪਿਛਲੀਆਂ ਬਾਜ਼ਾਰਕਾਲ ਮੁਹਿੰਮਾਂ ਦੇ ਪਿੱਛੇ ਹੈ ਜੋ ਕੰਟੀ ਆਈ ਵਰਗੇ ਰੈਨਸਮਵੇਅਰ ਫੈਲਾਉਂਦੀ ਸੀ। ਕੌਂਟੀ ਦੇ ਬੰਦ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਲੂਨਾ ਮੋਥ ਨੇ ਆਪਣੇ ਯਤਨ ਤੇਜ਼ ਕਰ ਦਿੱਤੇ ਹਨ। ਖਾਸ ਤੌਰ 'ਤੇ, ਮਾਰਚ 2025 ਤੱਕ, ਉਨ੍ਹਾਂ ਨੇ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਵਿਅਕਤੀਆਂ ਨੂੰ ਸਿੱਧੇ ਕਾਲ ਕਰਕੇ, ਆਈਟੀ ਵਿਭਾਗ ਦੇ ਕਰਮਚਾਰੀਆਂ ਵਜੋਂ ਪੇਸ਼ ਕਰਕੇ ਆਪਣੀ ਰਣਨੀਤੀ ਵਿਕਸਤ ਕੀਤੀ ਹੈ। ਇਹ ਪਹੁੰਚ ਕਰਮਚਾਰੀਆਂ ਨੂੰ ਰਿਮੋਟ ਐਕਸੈਸ ਸੈਸ਼ਨ ਵਿੱਚ ਸ਼ਾਮਲ ਹੋਣ ਲਈ ਹੇਰਾਫੇਰੀ ਕਰਦੀ ਹੈ, ਅਕਸਰ ਰਾਤ ਭਰ ਰੱਖ-ਰਖਾਅ ਕਰਨ ਦੀ ਆੜ ਵਿੱਚ।
ਵਪਾਰ ਦੇ ਸਾਧਨ: ਜਾਇਜ਼ ਸਾਫਟਵੇਅਰ ਨਾਲ ਮੇਲ-ਜੋਲ
ਇੱਕ ਵਾਰ ਪਹੁੰਚ ਮਿਲ ਜਾਣ 'ਤੇ, ਲੂਨਾ ਮੌਥ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ ਵਧਾਉਂਦਾ ਹੈ ਅਤੇ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢਣ ਲਈ ਜਾਇਜ਼ ਸਾਧਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ:
- ਆਰਕਲੋਨ
- ਵਿਨਐਸਸੀਪੀ
- ਜ਼ੋਹੋ ਅਸਿਸਟ
- ਸਿੰਕ੍ਰੋ
- ਐਨੀਡੈਸਕ
- ਸਪਲੈਸ਼ਟੌਪ
- ਅਟੇਰਾ
ਕਿਉਂਕਿ ਇਹ ਅਸਲੀ ਸਿਸਟਮ ਪ੍ਰਬੰਧਨ ਅਤੇ ਰਿਮੋਟ ਐਕਸੈਸ ਟੂਲ ਹਨ, ਇਹ ਅਕਸਰ ਸੁਰੱਖਿਆ ਟੂਲਸ ਦੁਆਰਾ ਖੋਜ ਤੋਂ ਬਚ ਜਾਂਦੇ ਹਨ। ਜੇਕਰ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਡਿਵਾਈਸ ਵਿੱਚ ਐਡਮਿਨ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਦੀ ਘਾਟ ਹੈ, ਤਾਂ WinSCP ਪੋਰਟੇਬਲ ਦੀ ਵਰਤੋਂ ਚੋਰੀ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਚੋਰੀ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਇੱਕ ਹਾਲੀਆ ਰਣਨੀਤੀ ਹੋਣ ਦੇ ਬਾਵਜੂਦ, ਇਹ ਬਹੁਤ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਸਾਬਤ ਹੋਇਆ ਹੈ, ਜਿਸ ਨਾਲ ਕਈ ਸਫਲ ਸਮਝੌਤੇ ਹੋਏ ਹਨ।
ਮੁਸੀਬਤ ਦੇ ਚਿੰਨ੍ਹ: ਲੂਨਾ ਕੀੜੇ ਦੇ ਹਮਲੇ ਦੇ ਸੰਕੇਤ
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਕਾਰਜਕਰਤਾਵਾਂ ਨੂੰ ਕੁਝ ਖਾਸ ਚੇਤਾਵਨੀਆਂ ਵੱਲ ਧਿਆਨ ਦੇਣਾ ਚਾਹੀਦਾ ਹੈ:
- ਕਿਸੇ ਅਣਜਾਣ ਸਮੂਹ ਤੋਂ ਅਣਕਿਆਸੇ ਈਮੇਲ ਜਾਂ ਵੌਇਸਮੇਲ ਜੋ ਡੇਟਾ ਚੋਰੀ ਦਾ ਦਾਅਵਾ ਕਰਦੇ ਹਨ।
- ਗਾਹਕੀ ਨਵੀਨੀਕਰਨ ਸੰਬੰਧੀ ਈਮੇਲਾਂ ਜਿਨ੍ਹਾਂ ਲਈ ਖਰਚਿਆਂ ਤੋਂ ਬਚਣ ਲਈ ਫ਼ੋਨ ਕਾਲ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ।
- ਕਥਿਤ ਆਈ.ਟੀ. ਸਟਾਫ਼ ਤੋਂ ਅਣਚਾਹੇ ਫ਼ੋਨ ਕਾਲਾਂ ਜੋ ਤੁਹਾਡੇ ਡਿਵਾਈਸ ਤੱਕ ਰਿਮੋਟ ਪਹੁੰਚ ਦੀ ਬੇਨਤੀ ਕਰਦੀਆਂ ਹਨ।
- WinSCP ਜਾਂ Rclone ਰਾਹੀਂ ਬਾਹਰੀ IP ਪਤਿਆਂ ਨਾਲ ਸ਼ੱਕੀ ਕਨੈਕਸ਼ਨ ਬਣਾਏ ਗਏ।
ਹਾਈ-ਟੈਂਪੋ ਹਮਲੇ ਅਤੇ ਹੈਲਪਡੈਸਕ ਸਪੂਫਿੰਗ
ਖੋਜ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਲੂਨਾ ਮੋਥ ਦੀਆਂ 'ਹਾਈ-ਟੈਂਪੋ' ਕਾਲਬੈਕ ਫਿਸ਼ਿੰਗ ਮੁਹਿੰਮਾਂ ਅਮਰੀਕਾ ਦੇ ਕਾਨੂੰਨੀ ਅਤੇ ਵਿੱਤੀ ਖੇਤਰਾਂ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਹਨ। ਉਹ ਰੀਮੇਜ਼ ਹੈਲਪਡੈਸਕ ਅਤੇ ਹੋਰ ਰਿਮੋਟ ਡੈਸਕਟੌਪ ਸੌਫਟਵੇਅਰ ਵਰਗੇ ਪਲੇਟਫਾਰਮਾਂ ਦੀ ਵਰਤੋਂ ਕਰ ਰਹੇ ਹਨ। ਇਕੱਲੇ ਮਾਰਚ 2025 ਵਿੱਚ, ਲੂਨਾ ਮੋਥ ਨੇ GoDaddy ਰਾਹੀਂ ਘੱਟੋ-ਘੱਟ 37 ਡੋਮੇਨ ਰਜਿਸਟਰ ਕੀਤੇ। ਇਹਨਾਂ ਵਿੱਚੋਂ ਜ਼ਿਆਦਾਤਰ ਡੋਮੇਨ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਸੰਗਠਨਾਂ ਦੇ IT ਹੈਲਪਡੈਸਕ ਅਤੇ ਸਹਾਇਤਾ ਪੋਰਟਲ ਨੂੰ ਧੋਖਾ ਦਿੰਦੇ ਹਨ।
ਇਹ ਹੈਲਪਡੈਸਕ-ਥੀਮ ਵਾਲੇ ਡੋਮੇਨ ਆਮ ਤੌਰ 'ਤੇ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਕਾਰੋਬਾਰ ਦੇ ਨਾਮ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੇ ਹਨ। ਹਮਲਾਵਰ ਥੋੜ੍ਹੇ ਜਿਹੇ ਰਜਿਸਟਰਾਰਾਂ ਅਤੇ ਨੇਮਸਰਵਰ ਪ੍ਰਦਾਤਾਵਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ, ਜਿਨ੍ਹਾਂ ਵਿੱਚ domaincontrol.com ਸਭ ਤੋਂ ਆਮ ਹੈ।
ਸੁਚੇਤ ਰਹੋ!
ਲੂਨਾ ਮੌਥ ਦੀਆਂ ਮੁਹਿੰਮਾਂ ਚੌਕਸੀ ਦੀ ਮਹੱਤਵਪੂਰਨ ਲੋੜ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀਆਂ ਹਨ। ਸਮਾਜਿਕ ਇੰਜੀਨੀਅਰਿੰਗ ਅਤੇ ਡੋਮੇਨ ਸਪੂਫਿੰਗ ਦੇ ਨਾਲ ਬੁਨਿਆਦੀ ਸਾਧਨਾਂ ਨੂੰ ਮਿਲਾ ਕੇ, ਉਹ ਬਹੁਤ ਸਾਰੇ ਬਚਾਅ ਪੱਖਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਦੇ ਹਨ ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਜੋਖਮ ਵਿੱਚ ਪਾਉਂਦੇ ਹਨ। ਉਨ੍ਹਾਂ ਦੀਆਂ ਚਾਲਾਂ ਨੂੰ ਪਛਾਣਨਾ ਸੁਰੱਖਿਅਤ ਰਹਿਣ ਦਾ ਪਹਿਲਾ ਕਦਮ ਹੈ।
