UNC3753 napadači koriste video pozive i RMM alate za krađenje podataka od advokatskih firmi
Grupa UNC3753 koristi socialni inženjering i remote alate za krađenje osetljivih podataka od advokatskih firmi i profesionalnih usluga od 2026. godine.
Šta se desilo?
Grupa sajber kriminalaca poznata kao UNC3753 vodi koordinirane napade na američke advokatske firme i organizacije iz sektora profesionalnih usluga od početka 2026. godine. Napadači koriste društveni inženjering - šalju lažne fakture, zatim se predstavljaju kao IT podrška i ubeđuju žrtve da učestvuju u video pozivima gde ih navode da instaliraju remote management alate. Nakon što dobiju pristup računarima, brzo pretražuju sisteme u potrazi za pravnim ugovorima, poreskim formama i finansijskim podacima, koje zatim kradu i koriste za izudu.
Koga pogađa?
Primarno su ugrožene advokatske kancelarije, finansijske institucije i organizacije koje pružaju profesionalne usluge. Opasnost posebno preti svim kompanijama koje čuvaju osjetljive pravne i finansijske dokumente. Prema izveštaju Gugla, od januara do maja 2026. godine napadeni su deseci organizacija.
Kako se zaštititi?
- Obučite zaposlene o taktikama socijalnog inženjeringa, posebno o pozivima koji se predstavljaju kao IT podrška
- Primenjujte stroga pravila fizičkog pristupa - zahtevajte lična dokumenta i pratnju za sve eksterne tehničare
- Dozvoljava pristup virtuelnim desktop okruženjima i VPN samo sa korporativnih uređaja
- Zabranite i blokujte neovlašćene remote management alate kao što su AnyDesk, Bomgar i Zoho Assist
- Postavite real-time upozorenja u sistemima za upravljanje dokumentima na velika pretraživanja i masovne preuzimanja datoteka
- Razvijajte i testiraite incidenta odgovore za brzo prepoznavanje i zaustavljanje neovlašćenog pristupa
Tehnički detalji
Napadači koristescreen-sharing alate kao što su Zoom i Microsoft Teams za inicijalni pristup. Nakon toga instaliraju remote management software (AnyDesk, Bomgar, Zoho Assist) za trajni pristup. Za komunikaciju koriste privnote.com - servis sa samouništavajućim porukama. Krađene podatke prenose putem WinSCP, Rclone ili direktno kroz web browser u svoje cloud naloge. Indikatori kompromitovanja uključuju sledeće IP adrese: 192.236.147.131, 192.236.147.138, 193.141.60.212, 192.236.154.158, 192.236.146.173, 174.169.162.62 i 64.94.84.97. Napadači koriste i fiktivne domene sledećih obrazaca: <organizacija>-itdesk[.]com, <organizacija>-it[.]com i <organizacija>-helpdesk[.]com. Krađeni podaci se prete objaviti na sajtovima kao što je business-data-leaks[.]com.
Preporuka Sajber Radara
Ova kampanja pokazuje kako sofisticirani napadači mogu da se pojave kao legitimna podrška i kako brzo mogu da ukradu vredne podatke - često u roku od nekoliko sati. Sve organizacije trebaju da odmah uvedu agilne odgovore na incident i da obezbede da zaposleni nikada ne prate uputstva sa neproverenih poziva.