Silent Ransom Group 通过虚假 IT 支持电话攻击律师事务所

根据网络安全公司 Mandiant 的一份最新报告，Silent Ransom Group 勒索团伙正在积极针对美国的律师事务所和专业服务组织发起社会工程攻击，往往在初次接触后数小时内就完成数据窃取。

这份报告发布之前，FBI 上周发布了一份 FLASH 通告，警告称 Silent Ransom Group 正针对美国律师事务所进行社会工程攻击，甚至是现场数据窃取攻击。Mandiant 现在提供了有关入侵如何实施的更多技术细节。

Mandiant 表示，该威胁组织（追踪编号为 UNC3753，又名 Luna Moth 和 Chatty Spider）在 2026 年 1 月至 5 月期间，瞄准了法律、金融和专业服务领域的数十家组织。

Mandiant 警告说，律师事务所仍然是极具吸引力的目标，因为它们存储了大量高度敏感的客户信息，并且可能迫于压力而解决敲诈事件，以避免声誉和监管损失。

Mandiant 解释说：「法律服务组织对敲诈者来说是高价值目标。它们集中存储着极其敏感的客户交易文件、并购计划、客户商业机密以及公司监管报告。」「威胁团伙意识到，法律实体承受着巨大的声誉和监管风险，因此很可能有强烈动机悄悄解决敲诈问题，以保护其专业地位。」

研究人员称，这些攻击始于来自个人邮箱账户、以发票为主题的钓鱼邮件。这些邮件不包含恶意链接或附件，而是作为后续攻击者冒充公司 IT 人员进行电话呼叫的前奏。

通过语音电话实施攻击是这些威胁行为者多年来持续使用的策略，他们此前曾在与 Ryuk 和 Conti 勒索软件相关的 BazarCall 社会工程活动中使用过这种方法。回调钓鱼攻击是指威胁行为者发送看似正常的钓鱼邮件，其中包含令人警觉或与 IT 相关的诱饵，诱使收件人拨打邮件中附带的电话号码进行回拨。

在当前的攻击活动中，Silent Ransom Group 冒充 IT 服务台，说服员工通过 Microsoft Teams、Zoom、Quick Assist 或 Microsoft Terminal Services 加入远程支持会话。

在这些会话期间，威胁行为者诱骗目标安装 AnyDesk、Zoho Assist、Bomgar 或 SuperOps 等远程监控和管理工具，从而获得对公司网络的初始访问权限。

Mandiant 还发现了与该攻击活动相关的钓鱼域名，这些域名冒充内部 IT 门户，使用如下命名模式：

• <组织名称>-itdesk[.]com

• <组织名称>-it[.]com

• <组织名称>-helpdesk[.]com

研究人员表示，威胁行为者还使用 privnote[.]com（一种自毁消息服务）在远程支持会话期间与目标共享安装链接和命令。据 Mandiant 称，这种策略有助于减少浏览器历史记录或公司聊天日志中留下的取证痕迹。

一旦进入网络，该组织就会搜索敏感的法律和财务文件，包括合同、税务记录、社会安全号码以及并购文件。攻击者通常以文档管理平台和云存储库为目标，然后使用 WinSCP 或 Rclone 等工具窃取数据。

Mandiant 表示，该勒索行动非常激进，赎金要求往往在攻击者离开受害者环境后的 30 分钟内就会发出。

Mandiant 报告称：「这些极具攻击性的勒索信给组织设定了三天的最后期限来回应并开始赎金谈判。如果受害者组织没有回应，威胁行为者就会宣称将直接致电和发邮件给目标员工及外部客户，提醒他们发生了数据泄露。」「勒索信明确强调，泄露事件将破坏客户信任，招致巨额监管罚款，并暗示外部客户可能会就数据处理不当起诉受害者组织。」

该报告还引用了 FBI 最近的通告，其中执法机构警告称，Silent Ransom Group 正通过现场数据窃取攻击针对美国律师事务所。

根据 FBI 的说法，攻击者通过电话和电子邮件冒充内部 IT 员工，然后试图获得远程访问权限，或亲自到访办公室，对计算机进行「镜像」或创建备份，同时秘密窃取文件。

虽然 Mandiant 表示取证证据有限，但研究人员认为，基于目标选择、时间线和操作行为的相似性，这些现场攻击很可能与 UNC3753 有关。

Silent Ransom Group 至少自 2022 年以来一直活跃，当时它是 Ryuk 和 Conti 网络犯罪集团的一部分。

正如 BleepingComputer 此前报道的那样，该威胁行为者曾被关联到 BazarCall 回调钓鱼活动，这些活动为 Conti 和 Ryuk 勒索软件攻击提供了初始访问权限。

在 Conti 集团于 2022 年关闭后，该组织转向以 Silent Ransom Group 为品牌，开展独立的数据窃取和勒索行动。

研究人员称，该组织不再依赖传统的勒索软件加密，而是完全专注于数据窃取型勒索——即窃取敏感数据，并胁迫受害者支付赎金以防止数据泄露。

Resecurity 本周发布的另一份报告发现，该团伙还在运营快速 flux 基础设施，以隐藏和保护其数据泄露平台。

DNS fast flux 是一种方法，攻击者通过大量被入侵的设备不断轮换域名的 IP 地址，以隐藏其基础设施，并使下架或屏蔽操作变得困难得多。

据该公司称，该基础设施使用跨越多个国家和 ISP 的住宅 IP 地址，以增加下架难度。

Resecurity 表示，该组织的 business-data-leaks[.]com 泄露网站及相关基础设施依赖遍布拉丁美洲、东欧、中亚、中东和亚洲的住宅代理网络。研究人员还将该基础设施与其他与网络犯罪相关的服务和域名关联起来。

为了防御这些攻击，Mandiant 和 FBI 均建议实施严格的 IT 支持交互验证程序、限制远程访问工具、强制使用多因素认证（MFA）、限制 USB 存储设备，并培训员工识别语音钓鱼企图。

对于希望防御网络钓鱼、商业电子邮件欺诈（BEC）和账户接管攻击的组织，BleepingComputer 将与 Abnormal 共同举办一场网络研讨会，主题为「停止追逐警报：用行为 AI 自动化电子邮件安全」。

该研讨会将探讨行为 AI 如何帮助安全团队检测和响应现代钓鱼攻击、自动进行调查和修复，并减少由警报疲劳和日益复杂的社会工程活动带来的运营负担。