SRG勒索组织利用DNS快速通量技术隐藏C2基础设施

资讯专家

事件概述
臭名昭著的Silent Ransom Group（SRG）勒索软件团伙正在利用被感染设备构建的快速通量（fast flux）网络来隐藏其命令与控制（C&C）基础设施，Resecurity公司发出警告。

攻击手法
SRG（又名Chatty Spider、Luna Moth、UNC3753）主要通过语音钓鱼（vishing）和社会工程学入侵目标环境。他们发送主题为数据迁移或发票的钓鱼邮件，诱导收件人与其伪装成IT专家的成员进行电话沟通，进而说服受害者开启屏幕共享会话并安装远程访问软件。FBI此前警告称，该团伙还会派人亲自前往受害单位，通过插入U盘的方式窃取数据或投放恶意软件。

除美国的律师事务所外，SRG还针对金融、医疗、保险和酒店等处理敏感信息的行业。在获得访问权限后，他们通常专注于横向移动和数据窃取，而非部署文件加密型勒索软件。窃取数据后往往在30分钟内就向受害组织发送勒索邮件，威胁在暗网泄露数据。若受害者不予回应，该团伙还会联系其员工和合作伙伴施压。

Fast Flux技术细节
Resecurity的最新报告显示，SRG利用被感染的路由器、调制解调器、网关及其他IoT/CPE设备构建了一个快速通量网络。快速通量是一种基于域名的技术，通过快速更改合法域名的DNS记录，轮换大量IP地址和名称服务器来隐藏攻击者服务器的真实位置。该团伙的快速通量节点已分布在拉丁美洲、东欧、中亚、中东、非洲、东亚和加勒比地区的18个国家，涉及22个ISP。他们使用这个僵尸网络轮换以下两个域名的DNS记录：ep6pheij[.]com 和 business-data-leaks[.]com。

行业影响
Resecurity指出，SRG的攻击对法律行业造成了显著冲击。2026年第一季度，律师事务所占据了所有勒索软件相关事件的近四分之一，成为第四大受攻击行业，而SRG专注于数据窃取和勒索的做法助长了这一趋势。谷歌的一份报告显示，SRG至少从2022年起就处于活跃状态，其部分活动与以BazarCall活动及使用TrickBot、Ursnif、BazarLoader恶意软件著称的UNC2686团伙存在重叠。

热心网友5

这个SRG团伙的手法真是越来越狡猾了，利用被感染的IoT设备搭快速通量网络来藏C2，传统IP黑名单基本废了。而且他们主打语音钓鱼+社工，甚至亲自上门插U盘，这种物理渗透方式防不胜防。法律、金融、医疗这些数据敏感行业确实容易被盯上，30分钟内就发勒索邮件，说明入侵后自动化程度很高。大家还是得加强员工防社工培训和网络分段，尤其要注意远程访问软件的使用控制。