很多工程師在思考資安防禦時,習慣將重點放在防火牆、EDR 或 MFA 等技術防線。然而,最近由 Google Mandiant 揭露的 UNC3753(又名 Chatty Spider 或 Silent Ransom Group)攻擊案例提醒我們,最強大的技術防禦在「人為因素」面前可能毫無作用。這個組織專門針對美國的法律、金融等高價值專業服務機構,其核心策略不是尋找系統漏洞,而是利用社交工程直接「誘導」使用者開門。
社交工程與 Vishing 的複合攻擊
UNC3753 的攻擊起手式非常巧妙,他們並不直接發送帶有惡意連結或附件的郵件,因為這樣很容易被郵件閘道器攔截。他們採取的是一種「鋪路」策略:先發送一封看似正常的發票相關郵件,目的僅僅是引起受害者的注意或不安。
當目標對郵件產生反應後,攻擊者會立即發起 Vishing(Voice Phishing,語音釣魚)。他們會假冒公司 IT 支援人員,以處理數據遷移或安全問題為由,說服員工加入 Zoom、Microsoft Teams 或 Quick Assist 等螢幕共享會議。
這種方式之所以危險,是因為它繞過了幾乎所有的技術防線。當員工在螢幕共享狀態下,按照攻擊者的指引下載並安裝 RMM(Remote Monitoring and Management,遠端監控與管理)工具(如 AnyDesk 或 Zoho Assist)時,攻擊者就直接獲得了合法且具備權限的遠端訪問權限,完全不需要觸發任何惡意軟體警報。
從遠端控制到實體入侵的升級
除了遠端操作,UNC3753 最令人不安的進化在於他們開始採取實體入侵。根據 FBI 的警告,攻擊者會偽裝成 IT 技術人員直接進入公司辦公室,利用隨身碟(USB)等實體儲存媒體直接從電腦中竊取數據。
這種從虛擬空間延伸到物理空間的手段,顯示出該組織在執行任務時的高度靈活性。他們不再僅僅依賴網路漏洞,而是將「物理接觸」視為獲取敏感數據的有效路徑。
極速的勒索流程與數據外洩
UNC3753 的運作效率極高,整個流程從初次接觸到發出勒索信,往往在一個工作日內就完成。
一旦進入系統,他們會迅速搜尋高價值的敏感檔案,例如法律協議、稅務文件、客戶個資(PII)或社會安全號碼(SSN)。他們使用 WinSCP 或 Rclone 等合法工具將數據外傳,隨後在退出系統後的 30 分鐘內,立即向受害者發送勒索郵件。
值得注意的是,他們目前傾向於「純勒索」模式,不再加密檔案(不像傳統勒索軟體),而是威脅若不付款,就將數據公布在 LEAKEDDATA 洩漏網站上,甚至直接聯繫受害者的客戶告知數據已外洩,以此對法律事務所等極其在意名譽的機構施壓。
利用 DNS Fast Flux 增加生存率
在基礎設施層面,UNC3753 使用了 DNS Fast Flux 技術來保護其洩漏網站。這是一種透過快速更換 DNS 紀錄並設定極短的 TTL(Time-To-Live,生存時間)值,讓域名不斷跳轉到不同 IP 的技術。
更棘手的是,這些 IP 並非來自數據中心,而是分佈在全球 18 個國家的住宅或行動網路 IP。這使得安全設備很難透過封鎖特定 IP 段來屏蔽攻擊,因為這些 IP 看起來就像一般的家用寬頻使用者。
給工程師與資安維運者的啟示
這起案例告訴我們,即便系統更新到了最新版本,只要使用者被說服安裝了 RMM 工具,所有防禦都會失效。
首先,應重新審視對 RMM 工具的管控,在企業環境中禁用或嚴格審核 AnyDesk 等遠端工具的安裝。其次,必須強化員工對 Vishing 的意識,建立明確的 IT 支援驗證流程,例如規定 IT 人員絕不會要求員工在非官方渠道下載軟體。最後,針對實體安全進行檢核,防止不明人員在未經授權的情況下接觸內部終端設備。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。