مكاتب دعم مزيفة تضع بيانات مكاتب المحاماة في مركز الهجوم
تستخدم Silent Ransom Group مكالمات دعم تقنية مزيفة لاستهداف مكاتب محاماة أمريكية ومؤسسات خدمات مهنية، مع تحذير Mandiant من أن سرقة البيانات قد تحدث خلال ساعات من أول تواصل. تكمن أهمية الحملة في أن المجموعة لا تعتمد على تفجير برمجية فدية تقليدية. نقطة الضغط هي تركيز القطاع القانوني على ملفات عملاء شديدة الحساسية، وتكلفة السمعة إذا أصبح تسريب البيانات علنيا.
تتبع Mandiant الجهة باسم UNC3753، وتربطها أيضا بأسماء Luna Moth وChatty Spider. ويمتد النشاط الوارد في التقرير من January إلى May 2026، ويشمل عشرات المؤسسات في قطاعات الخدمات القانونية والمالية والمهنية. كما أصدر FBI تنبيها من نوع FLASH في الأسبوع الماضي حذر فيه من استهداف مكاتب المحاماة الأمريكية عبر الهندسة الاجتماعية ومحاولات سرقة بيانات داخل المكاتب.
الهجوم يبدأ برسالة عادية ومكالمة صوتية
يبدأ الطعم الأولي بطريقة تقلل مؤشرات البرمجيات الخبيثة. يرسل المهاجمون رسائل تصيد بطابع فواتير من حسابات بريد إلكتروني استهلاكية، لكنها لا تتضمن روابط أو مرفقات خبيثة. دورها هو تهيئة الضحية لمكالمة لاحقة ينتحل فيها المهاجم صفة موظف تقنية معلومات داخل الشركة.
هذا النموذج القائم على الاتصال الراجع معروف من حملات BazarCall التي ارتبطت سابقا بعمليات Ryuk وConti. في هذه الحملة، يدفع المهاجم الموظف إلى جلسة دعم عن بعد عبر Microsoft Teams أو Zoom أو Quick Assist أو Microsoft Terminal Services. وخلال الجلسة، يقنع الهدف بتثبيت أدوات مراقبة وإدارة عن بعد مثل AnyDesk أو Zoho Assist أو Bomgar أو SuperOps. يمنح ذلك التثبيت الجهة وصولا أوليا من دون الحاجة إلى تجاوز دفاعات الطرفية عبر مرفق خبيث.
أدوات الدعم عن بعد تتحول إلى طريق نحو ملفات قانونية
بعد الدخول، تبحث المجموعة عن مواد قانونية ومالية حساسة. يذكر المصدر العقود والسجلات الضريبية وأرقام Social Security وملفات الاندماج والاستحواذ ومنصات إدارة المستندات ومستودعات التخزين السحابي كأهداف. وغالبا ما يتم إخراج البيانات باستخدام أدوات مثل WinSCP أو Rclone.
وجدت Mandiant أيضا نطاقات تصيد تنتحل بوابات تقنية معلومات داخلية وتستخدم أنماط تسمية تبدو كبنية دعم مؤسسية. وتستخدم المجموعة privnote[.]com لإرسال روابط التثبيت والأوامر خلال جلسات الدعم. وبما أن الخدمة تدمر الرسائل، يمكن للطريقة أن تقلل الأدلة المتبقية في سجل المتصفح أو سجلات محادثات الشركة.
الابتزاز يتحرك بسرعة بعد السرقة
سرعة التشغيل هي أحد أوضح التحذيرات لمكاتب المحاماة. تقول Mandiant إن مطالب الفدية تصل غالبا خلال 30 minutes بعد مغادرة المهاجمين بيئة الضحية. وتمنح الرسائل المؤسسة مهلة three-day للرد وبدء التفاوض.
إذا لم تتجاوب الضحية، تهدد الجهة بالاتصال بالموظفين والعملاء الخارجيين مباشرة. وتركز الرسائل على ثقة العملاء والتعرض التنظيمي واحتمال أن يقاضي العملاء المؤسسة بسبب سوء التعامل مع البيانات. هذا الضغط مصمم للخدمات القانونية، حيث قد تكون سرية العميل وملفات الصفقات أكثر ضررا من تعطل الأنظمة.
السرقة داخل المكاتب تبقى خطرا غير محسوم لكنه متصل
يضيف تنبيه FBI مسارا آخر: قد ينتحل المهاجمون صفة موظفي تقنية معلومات عبر الهاتف أو البريد الإلكتروني، ثم يحاولون زيارة المكاتب فعليا لتصوير أجهزة الكمبيوتر أو إنشاء نسخ احتياطية بينما يسرقون الملفات. قالت Mandiant إن الأدلة الجنائية محدودة، لكنها ترى أن النشاط داخل المكاتب مرتبط على الأرجح بـ UNC3753 بسبب التشابه في الاستهداف والجداول الزمنية والسلوك التشغيلي.
تنشط Silent Ransom Group منذ at least 2022، بعد روابط سابقة بمنظومة Ryuk وConti الإجرامية. وانتقلت لاحقا إلى ابتزاز قائم على سرقة البيانات بشكل مستقل، حيث تصبح المعلومات المسروقة أداة الضغط بدلا من تشفير الأنظمة. ويقول تقرير منفصل من Resecurity إن المجموعة تستخدم أيضا بنية fast-flux وعناوين IP سكنية عبر مناطق متعددة لحماية منصات تسريب البيانات.
الدفاع يعتمد على التحقق وضبط الوصول عن بعد
لا يقتصر الرد العملي على تصفية البريد الإلكتروني. توصي Mandiant وFBI بإجراءات تحقق صارمة لتفاعلات دعم تقنية المعلومات، وضبط أقوى لأدوات الوصول عن بعد، وتطبيق MFA، وتقييد أجهزة USB، وتدريب الموظفين على التعرف إلى التصيد الصوتي.
بالنسبة إلى مكاتب المحاماة ومؤسسات الخدمات المهنية، تتمثل نقطة المراقبة في ما إذا كانت إجراءات الدعم قادرة على إثبات هوية المتصل قبل بدء جلسة عن بعد. لا يؤكد المصدر أن كل حالة داخل المكاتب تعود إلى UNC3753، لكنه يوضح أن أسلوب المجموعة الحالي يجمع بين هندسة اجتماعية عبر الصوت، وأدوات دعم شرعية، وسرقة ملفات سريعة، وضغط مصمم للبيانات عالية القيمة الخاصة بالعملاء.
