網路攻擊組織UNC3753鎖定法律與金融業，假冒IT人員竊資勒索

攻擊者會以日常業務信件作為開場，研究人員舉例，攻擊者以個人電子郵件帳號寄出簡短訊息，內容沒有惡意檔案，目的在於建立後續來電的情境。之後，攻擊者會致電受害員工，冒稱內部IT支援或資安團隊，聲稱要處理安全問題或協助資料搬遷，進一步要求對方加入Zoom、Microsoft Teams和Quick Assist等螢幕分享或遠端支援工作階段。

在初次互動後，攻擊者進一步誘導受害者下載AnyDesk、Bomgar與Zoho Assist等遠端監控與管理工具，並用於搜尋其本機目錄、OneDrive資料夾、網路磁碟與文件管理系統。攻擊者也曾在iManage等文件儲存環境中搜尋美國稅務表單、稽核檔案、企業客戶協議與社會安全號碼等資料，並將結果暫存在受害者可存取的Downloads資料夾或使用者設定檔路徑。

竊取資料方式包括透過瀏覽器上傳至攻擊者控制的雲端檔案分享帳號，或使用WinSCP、Rclone等工具傳輸資料。攻擊者通常在成功竊取資料後不久寄出勒索信，有時在離開受害環境後30分鐘內就開始施壓，威脅公開資料。

部分事件甚至有攻擊者疑似冒充IT技術人員進入企業辦公室，聲稱需要替裝置建立完整備份，以處理安全問題，而在取得端點存取權後，再嘗試把企業資料複製到外接儲存裝置。不過，研究人員也保守表示，由於證據有限，且部分事件沒有後續勒索行為，因此僅評估這些實體入侵可能與UNC3753活動有關。

研究人員建議企業加強使用者訓練、外部技術人員身分驗證、訪客陪同制度、遠端存取條件式存取控管，以及未授權RMM與螢幕分享、遠端控制工具的執行限制。此外，企業也應限制USB大量儲存裝置讀寫能力，並監控文件儲存庫的大量搜尋、下載與異常存取行為。