Группировка UNC3753 атакует юридические и финансовые компании США с помощью вишинга и физических проникновений

APT

С января по май 2026 года специалисты Mandiant зафиксировали активную кампанию вымогательства данных, нацеленную на десятки организаций в профессиональном, юридическом и финансовом секторах Соединённых Штатов. За этой деятельностью стоит кластер угроз UNC3753, известный также под псевдонимами Luna Moth, Chatty Spider и Silent Ransom Group. Злоумышленники делают ставку на человеческий фактор, используя голосовой фишинг (вишинг) и приёмы социальной инженерии, чтобы получить удалённый доступ к корпоративным сетям. Особую тревогу вызывает то, что в ряде случаев преступники проникают в офисы лично, выдавая себя за сотрудников технической поддержки.

Описание

В основе атаки лежит многоступенчатая схема. Сначала жертве направляют электронное письмо с темой счёта или уведомления о миграции данных. Такие сообщения не содержат вредоносных ссылок или вложений - их задача создать предлог для последующего звонка. Злоумышленники звонят сотруднику компании, представляясь внутренней службой IT-поддержки или безопасности, и убеждают его установить сеанс удалённого управления экраном. Для этого используются легитимные сервисы, такие как Zoom, Microsoft Teams или Quick Assist. Если требуется более глубокое закрепление в системе, жертву склоняют скачать коммерческие агенты RMM (программы для удалённого мониторинга и управления) - AnyDesk, Bomgar, Zoho Assist или SuperOps.

Чтобы не оставлять следов в браузере или логах чатов, преступники передают ссылки и команды через сервис privnote[.]com, который уничтожает сообщение после прочтения. Например, в одном инциденте они попросили жертву выполнить через терминал команду cURL для загрузки и установки пакета SuperOps. Эта техника позволяет обойти традиционные средства защиты периметра и почтовые фильтры.

После получения доступа злоумышленники действуют стремительно. Mandiant отмечает, что вся цепочка - от первого контакта до вымогательства - нередко укладывается в один рабочий день. В некоторых случаях сбор данных, их подготовка и выгрузка занимали меньше часа. Преступники используют учётные записи жертв для входа в корпоративную инфраструктуру виртуальных рабочих столов (VDI) через личные устройства сотрудников (BYOD). Таким образом они получают доступ к файловым системам, базам данных iManage, SharePoint и OneDrive. С помощью поиска по ключевым словам они находят налоговые формы W-2, W-9, 1099, аудиторские отчёты, клиентские соглашения и номера социального страхования. Собранные файлы временно размещаются в папке загрузок жертвы или в её роуминговом профиле.

Для выгрузки данных группа UNC3753 применяет несколько методов. Чаще всего это портативные версии WinSCP или Rclone для передачи по протоколам FTP и SFTP. Если же ограничения на запуск сторонних программ не позволяют их использовать, преступники просто открывают в браузере жертвы свой аккаунт на облачном файловом сервисе (например, Google Drive) и перетаскивают файлы вручную. В одном расследовании Mandiant злоумышленники выгрузили 1,7 гигабайта данных из локального OneDrive жертвы через браузер, а затем, переключившись на сеанс VDI, извлекли ещё 14,4 гигабайта с помощью WinSCP. Компания Google после этого заблокировала скомпрометированные аккаунты и ресурсы. Ещё один способ - отправка файлов по электронной почте с почтового ящика жертвы на подконтрольные злоумышленникам адреса.

Примерно через полчаса после завершения выгрузки жертва получает письмо с требованием выкупа. Отчёт Mandiant описывает его как крайне агрессивное: организации даётся три дня на ответ и начало переговоров. Если реакция отсутствует, преступники угрожают обзвонить сотрудников и внешних клиентов, сообщив об утечке, а затем опубликовать все данные на собственном сайте утечек LEAKEDDATA. В тексте письма подчёркивается, что разглашение подорвёт доверие клиентов и приведёт к регуляторным штрафам, а пострадавшие стороны могут подать иски.

Самая тревожная тенденция - физические проникновения. Федеральное бюро расследований (ФБР) в своей недавней рекомендации подтвердило случаи, когда участники Silent Ransom Group (одно из названий UNC3753) лично являлись в офисы компаний. Если удалённые попытки социальной инженерии не срабатывали, злоумышленник приходил на место под видом IT-специалиста, заявлял о необходимости создать резервную копию или провести диагностику и подключал к компьютеру USB-накопитель для прямого копирования данных. Хотя отсутствие последующего требования выкупа мешает формально приписать эти инциденты UNC3753, эксперты GTIG (подразделение Google Threat Intelligence) указывают на совпадение тактик, временных рамок и профилей целей.

Группировка UNC3753 активна как минимум с марта 2022 года. Ранее она использовала фишинговые письма с вложениями PDF, содержащими номера телефонов для колл-центров, а также в 2022 году развёртывала программу-вымогатель LOCKBIT.BLACK. Однако с начала 2025 года тактика изменилась: теперь вместо поддельных уведомлений о подписке атакующие выдают себя за внутренних IT-специалистов. Основной доход им приносит кража данных с последующим шантажом, без шифрования файлов.

Из всего сказанного следует, что традиционные технические меры защиты - межсетевые экраны, системы предотвращения вторжений, многофакторная аутентификация - пасуют перед атакой, нацеленной на человека. Преступники просто звонят и просят помочь, и сотрудник сам открывает им доступ. Компаниям из секторов с высокой концентрацией конфиденциальных данных - юридическим, финансовым, консалтинговым - необходимо пересмотреть подход к безопасности. В частности, следует внедрить строгие процедуры проверки личности для всех, кто представляется техническим специалистом, как удалённо, так и при личном визите. Рекомендуется также ограничить установку и запуск неизвестных программ для удалённого управления, отключить запись на USB-носители на всех рабочих станциях и настроить мониторинг массовых выгрузок из корпоративных хранилищ. Физический периметр компании должен охраняться не менее тщательно, чем сетевой.

Индикаторы компрометации

IPv4

  • 174.169.162.62
  • 192.236.146.173
  • 192.236.147.131
  • 192.236.147.138
  • 192.236.154.158
  • 193.141.60.212
  • 64.94.84.97

Domains

  • <organization>-helpdesk.com
  • <organization>-it.com
  • <organization>-itdesk.com

URLs

  • https://business-data-leaks.com

Комментарии: 0