法律行业向来以流程缜密、保密协议严苛著称,但一个名为UNC3753的犯罪组织证明,再厚的防火墙也挡不住一通冒充IT支援的电话。从2026年初开始,该组织专门针对美国律所发起连环攻击,仅靠语音钓鱼、屏幕共享和远程管理工具,就在单个工作日内完成从接入到数据外传的全部链条,有时甚至不到一小时。
UNC3753同时被安全界追踪为Luna Moth、Chatty Spider和Silent Ransom Group,至少自2022年3月起便活跃在地下网络。2026年1月至5月的最新一轮攻击波及数十家机构,目标涵盖法律、专业服务与金融行业,显示出对高价值数据的精准嗅觉。
这次攻势最令人警惕的不是工具本身,而是节奏。很多案例中,攻击者从拨出第一通电话到实际带走数据,间隔不超过一个工作日;部分事件里,搜索文件、打包暂存到外传整套动作被压缩在六十分钟以内,几乎没有留给受害者应急响应的窗口。
与依赖恶意软件的传统入侵不同,UNC3753完全绕开技术防线,把人当作突破口。谷歌云的分析师在一份报告中指出,攻击始于一封外观普通的发票主题邮件,发自信箱地址都很像个人账户。这些邮件不带任何链接或附件,唯一目的就是在收件人心里种下疑虑,让他们更可能在接到冒充IT客服的后续电话时配合操作。
电话拨通前,攻击者早已从公司官网扒出目标员工的姓名、职位等公开信息。通话中,对方自称处理安全事件或协助进行数据迁移,用一套熟练的话术逐步建立信任,然后引导受害者开启屏幕共享。一旦屏幕画面暴露给对方,入侵就正式进入技术投放阶段。
在共享会话中,攻击者会一步步指挥受害者下载远程访问工具。记录显示,UNC3753在不同攻击任务中分别使用过AnyDesk、Bomgar、Zoho Assist,以及一个SuperOps RMM代理。为了清除痕迹,所有安装链接都通过Privnote传递——这种自毁式笔记工具在消息被阅读后立即删除,留给取证工作的线索极其有限。
深入内网的过程同样利落。一些案例中,攻击者通过BYOD笔记本电脑,借助Windows 365或Citrix客户端跳入企业虚拟桌面环境,随即在iManage这类文档管理系统中搜索税务记录、社会保障号码和法律协议书。找到目标文件后,他们将其暂存在“下载”文件夹中,再统一外传。
敲诈阶段几乎与盗窃同步启动。退出目标环境后不到三十分钟,一封威胁邮件就会送达,要求受害方三天内作出回应。如果对方选择沉默,攻击者便扬言联系员工、客户和媒体,并将窃取的文件直接公布在名为LEAKEDDATA的数据泄露网站上。
这种模式能持续运转,是因为律所掌握着并购计划、客户档案、商业秘密和监管报告等杀伤力极强的信息。攻击者深知,面临名誉压力的机构很可能选择私下支付,而不愿承受公开曝光的风险,整个勒索模型正是建立在这种精明的算计上。
安全专家指出,针对此类社工攻击,组织应培训员工养成独立核实IT来电的习惯,同时对远程控制软件和虚拟桌面接入实施更严格的限制,防止一通看似普通的电话演变成全面的数据灾难。
热门跟贴