首页
安全
资讯
社区
AI
关于
登录
注册
投稿
扫码查看手机版
程序园首页
专栏
社区
赞助
代码教程
软件工具
程序源码
申请VIP
投稿
HOT
公众号矩阵
移动端
登录
/注册
首页
资讯
网络安全
人工智能
区块链
社区
程序园
广播
专栏
账号
自动登录
找回密码
密码
登录
立即注册
搜索
搜索
热搜
程序源码
软件工具
代码教程
网络安全
人工智能
区块链
资讯
本版
文章
帖子
用户
好友
收藏
道具
勋章
相册
分享
设置
我的收藏
退出
程序园
»
社区
›
业内资讯
›
网络安全
›
Silent Ransom Group 通过虚假 IT 支持电话攻击律师事务 ...
返回列表
Silent Ransom Group 通过虚假 IT 支持电话攻击律师事务所
[复制链接]
作者:
admin
|
时间:
2026-6-8 23:37:17
|
阅读:54
|
显示全部楼层
马上注册,让你轻松玩转程序园
您需要
登录
才可以下载或查看,没有账号?
立即注册
x
根据网络安全公司 Mandiant 的一份最新报告,Silent Ransom Group 勒索团伙正在积极针对美国的律师事务所和专业服务组织发起社会工程攻击,往往在初次接触后数小时内就完成数据窃取。
这份报告发布之前,FBI 上周发布了一份 FLASH 通告,警告称 Silent Ransom Group 正针对美国律师事务所进行社会工程攻击,甚至是现场数据窃取攻击。Mandiant 现在提供了有关入侵如何实施的更多技术细节。
Mandiant 表示,该威胁组织(追踪编号为 UNC3753,又名 Luna Moth 和 Chatty Spider)在 2026 年 1 月至 5 月期间,瞄准了法律、金融和专业服务领域的数十家组织。
Mandiant 警告说,律师事务所仍然是极具吸引力的目标,因为它们存储了大量高度敏感的客户信息,并且可能迫于压力而解决敲诈事件,以避免声誉和监管损失。
Mandiant 解释说:「法律服务组织对敲诈者来说是高价值目标。它们集中存储着极其敏感的客户交易文件、并购计划、客户商业机密以及公司监管报告。」「威胁团伙意识到,法律实体承受着巨大的声誉和监管风险,因此很可能有强烈动机悄悄解决敲诈问题,以保护其专业地位。」
研究人员称,这些攻击始于来自个人邮箱账户、以发票为主题的钓鱼邮件。这些邮件不包含恶意链接或附件,而是作为后续攻击者冒充公司 IT 人员进行电话呼叫的前奏。
通过语音电话实施攻击是这些威胁行为者多年来持续使用的策略,他们此前曾在与 Ryuk 和 Conti 勒索软件相关的 BazarCall 社会工程活动中使用过这种方法。回调钓鱼攻击是指威胁行为者发送看似正常的钓鱼邮件,其中包含令人警觉或与 IT 相关的诱饵,诱使收件人拨打邮件中附带的电话号码进行回拨。
在当前的攻击活动中,Silent Ransom Group 冒充 IT 服务台,说服员工通过 Microsoft Teams、Zoom、Quick Assist 或 Microsoft Terminal Services 加入远程支持会话。
在这些会话期间,威胁行为者诱骗目标安装 AnyDesk、Zoho Assist、Bomgar 或 SuperOps 等远程监控和管理工具,从而获得对公司网络的初始访问权限。
Mandiant 还发现了与该攻击活动相关的钓鱼域名,这些域名冒充内部 IT 门户,使用如下命名模式:
<组织名称>-itdesk[.]com
<组织名称>-it[.]com
<组织名称>-helpdesk[.]com
研究人员表示,威胁行为者还使用 privnote[.]com(一种自毁消息服务)在远程支持会话期间与目标共享安装链接和命令。据 Mandiant 称,这种策略有助于减少浏览器历史记录或公司聊天日志中留下的取证痕迹。
一旦进入网络,该组织就会搜索敏感的法律和财务文件,包括合同、税务记录、社会安全号码以及并购文件。攻击者通常以文档管理平台和云存储库为目标,然后使用 WinSCP 或 Rclone 等工具窃取数据。
Mandiant 表示,该勒索行动非常激进,赎金要求往往在攻击者离开受害者环境后的 30 分钟内就会发出。
Mandiant 报告称:「这些极具攻击性的勒索信给组织设定了三天的最后期限来回应并开始赎金谈判。如果受害者组织没有回应,威胁行为者就会宣称将直接致电和发邮件给目标员工及外部客户,提醒他们发生了数据泄露。」「勒索信明确强调,泄露事件将破坏客户信任,招致巨额监管罚款,并暗示外部客户可能会就数据处理不当起诉受害者组织。」
该报告还引用了 FBI 最近的通告,其中执法机构警告称,Silent Ransom Group 正通过现场数据窃取攻击针对美国律师事务所。
根据 FBI 的说法,攻击者通过电话和电子邮件冒充内部 IT 员工,然后试图获得远程访问权限,或亲自到访办公室,对计算机进行「镜像」或创建备份,同时秘密窃取文件。
虽然 Mandiant 表示取证证据有限,但研究人员认为,基于目标选择、时间线和操作行为的相似性,这些现场攻击很可能与 UNC3753 有关。
Silent Ransom Group 至少自 2022 年以来一直活跃,当时它是 Ryuk 和 Conti 网络犯罪集团的一部分。
正如 BleepingComputer 此前报道的那样,该威胁行为者曾被关联到 BazarCall 回调钓鱼活动,这些活动为 Conti 和 Ryuk 勒索软件攻击提供了初始访问权限。
在 Conti 集团于 2022 年关闭后,该组织转向以 Silent Ransom Group 为品牌,开展独立的数据窃取和勒索行动。
研究人员称,该组织不再依赖传统的勒索软件加密,而是完全专注于数据窃取型勒索——即窃取敏感数据,并胁迫受害者支付赎金以防止数据泄露。
Resecurity 本周发布的另一份报告发现,该团伙还在运营快速 flux 基础设施,以隐藏和保护其数据泄露平台。
DNS fast flux 是一种方法,攻击者通过大量被入侵的设备不断轮换域名的 IP 地址,以隐藏其基础设施,并使下架或屏蔽操作变得困难得多。
据该公司称,该基础设施使用跨越多个国家和 ISP 的住宅 IP 地址,以增加下架难度。
Resecurity 表示,该组织的 business-data-leaks[.]com 泄露网站及相关基础设施依赖遍布拉丁美洲、东欧、中亚、中东和亚洲的住宅代理网络。研究人员还将该基础设施与其他与网络犯罪相关的服务和域名关联起来。
为了防御这些攻击,Mandiant 和 FBI 均建议实施严格的 IT 支持交互验证程序、限制远程访问工具、强制使用多因素认证(MFA)、限制 USB 存储设备,并培训员工识别语音钓鱼企图。
对于希望防御网络钓鱼、商业电子邮件欺诈(BEC)和账户接管攻击的组织,BleepingComputer 将与 Abnormal 共同举办一场网络研讨会,主题为「停止追逐警报:用行为 AI 自动化电子邮件安全」。
该研讨会将探讨行为 AI 如何帮助安全团队检测和响应现代钓鱼攻击、自动进行调查和修复,并减少由警报疲劳和日益复杂的社会工程活动带来的运营负担。
回复
使用道具
举报
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
返回列表
发表新帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
黑客现已利用关键 Oracle E-Business 漏洞发起攻击
据威胁情报公司 Defused 称,攻击者已开始利用 Oracle E-Business Suite (EBS) 财务应用程序中的一个关键漏
关键 SimpleHelp 漏洞被利用以部署新型窃密恶意软件
黑客正在利用 SimpleHelp 中一个最近披露的关键漏洞(CVE-2026-48558)来部署 Djinn Stealer,这是一种此前
美国查封数百个 FIFA 世界杯非法流媒体域名
美国司法部刑事局查封了近 400 个用于非法流媒体播放 FIFA 世界杯比赛的网站域名。这些网站向访问者提供 20
Microsoft 将 Mastra AI 供应链攻击归因于朝鲜黑客
Microsoft 将最近导致超过 140 个 npm 软件包受损的 Mastra AI 供应链攻击归因于朝鲜黑客组织 Sapphire Sle
Siemens 称 Desigo CC 文件被安全引擎标记为恶意软件
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案错误地标记为恶意软件
日本能源公司丢失存储有 1090 万客户数据的硬盘
九州电力株式会社披露了一起物理安全事件,影响了超过 1000 万客户的隐私数据。 在一份官方公告中,该公司
The Gentlemen 勒索软件声称有 478 名受害者,可像蠕虫一样传播
对 The Gentlemen 行动的一项新分析显示,这个以经济为动机的威胁组织最初是作为附属机构运营的,负责实施
Silent Ransom Group 通过虚假 IT 支持电话攻击律师事务所
根据网络安全公司 Mandiant 的一份最新报告,Silent Ransom Group 勒索团伙正在积极针对美国的律师事务所和
浏览过的版块
资讯
人工智能
admin
关注Ta
主题 264
帖子 260
积分 693
程序园专栏内容编辑
•
修正版泛目录程序
•
52吃瓜网落地页
•
百度泛2程序,批量推送效果好
•
emet是什么恶意软件检测
•
招聘中 产品经理 12-24K
•
强制git pull覆盖本地文件的方法
•
泛x程序,适合做x领域的泛程序
•
电脑进入bios关闭网卡的技巧
阅读作者更多精彩帖子
皇家山大学确认遭入侵,黑客声称对攻击负责
卡尔加里的皇家山大学表示,黑客在入侵该校网络后,从其文件存储系统中窃取并删除了数
严重漏洞暴露 GitHub Agentic Workflows 面
Noma Labs 警告称,GitHub Agentic Workflows 中存在一个严重的提示注入漏洞,可能允
Google Dialogflow CX 漏洞可让攻击者劫持
Varonis 报告称,Google Cloud 的 Dialogflow CX 服务中存在一个漏洞,可能允许攻击者
Оправы Медицинские Дл
Чтобы выбрать качественные солнцезащитные
Citrix 修复六个 NetScaler 漏洞,涉及文件
Citrix 周二发布了安全更新,以解决 NetScaler ADC 和 NetScaler Gateway 中的多个漏
"DirtyClone" Linux 内核漏洞可获取 Root
JFrog 发布了针对近期一个高严重性 Linux 内核漏洞的技术细节和概念验证代码,该漏洞
日产披露与 Oracle 零日攻击相关的员工数据
日产汽车警告称,在威胁行为者利用 Oracle PeopleSoft 漏洞进行与此前与 ShinyHunters
黑客现已利用关键 Oracle E-Business 漏洞
据威胁情报公司 Defused 称,攻击者已开始利用 Oracle E-Business Suite (EBS) 财务应
Microsoft 将 Mastra AI 供应链攻击归因于
Microsoft 将最近导致超过 140 个 npm 软件包受损的 Mastra AI 供应链攻击归因于朝鲜
Siemens 称 Desigo CC 文件被安全引擎标记
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案