UNC3753 混合式钓鱼攻击特征与行业防御体系构建

摘要

UNC3753（Silent Ransom Group，别称 Luna Moth、Chatty Spider）作为近年来活跃于北美地区的高级威胁组织，将攻击目标聚焦于律师事务所等高敏感行业，创新形成远程钓鱼、语音诈骗、物理渗透三位一体的混合式攻击模式，摒弃传统勒索软件加密数据的方式，转而以窃取敏感信息并威胁公开泄露实施勒索，对法律行业数据安全、商业信誉与合规运营造成严重冲击。本文以 FBI、Google 安全团队披露的 UNC3753 攻击活动为研究样本，系统拆解该组织的攻击流程、技术手段、社会工程学策略以及针对律所场景的适配化攻击特征，剖析传统网络安全防护体系在应对混合式钓鱼攻击时存在的短板。结合反网络钓鱼技术理论，搭建适配法律行业的多层级动态防御架构，涵盖邮件检测、语音反诈、终端管控、物理准入、行为审计五大模块，编写对应的检测与拦截代码示例验证技术落地可行性。反网络钓鱼技术专家芦笛指出，UNC3753 代表着网络钓鱼攻击从纯线上数字入侵向 “线上 + 线下” 融合形态演变，单一的边界防护、终端杀毒已无法抵御此类复合型威胁。研究结合行业场景完成防御方案效果验证，从技术、管理制度、人员培训、行业联动四个维度提出综合防控策略，形成 “检测 - 拦截 - 溯源 - 优化” 的安全闭环，可为律所、金融、医疗等同类高敏感机构应对高级混合式钓鱼攻击提供技术参考与实践范式。

关键词：UNC3753；混合式钓鱼攻击；社会工程学；物理渗透；律所安全；动态防御

1 引言

数字时代下，律师事务所存储着海量涉密文件，包括案件卷宗、商业并购协议、客户身份信息、知识产权资料、财务税务记录等，这类数据具备价值高、敏感度强、泄露危害大的特点，逐步成为网络威胁组织的重点狩猎目标。传统网络钓鱼攻击多依托邮件、链接、恶意附件等纯线上载体开展攻击，攻击路径单一、攻击场景局限于网络空间，企业可通过域名黑名单、邮件网关过滤、终端杀毒软件等基础手段实现有效拦截。但自 2023 年起，UNC3753 威胁组织持续针对美国律所发起定向攻击，打破线上攻击的边界限制，将网络钓鱼、语音诈骗、现场物理渗透相结合，构建起多阶段、多载体、高欺骗性的混合式攻击链条。

根据 FBI 2026 年 5 月发布的 FLASH 安全预警以及 Google Mandiant 团队的追踪报告，UNC3753 区别于常规勒索团伙，核心盈利模式由 “系统加密勒索” 转变为 “数据窃取 + 泄露威胁勒索”。攻击者不会破坏受害机构的业务系统，而是悄无声息完成数据拷贝，随后向律所管理层发送勒索通知，若未能按时支付赎金，便会在自建泄露网站公开涉密数据。截至 2026 年 6 月，该组织已成功入侵北美数十家律师事务所，多起数据泄露事件不仅导致律所面临客户索赔、监管处罚，还引发整个法律行业的信任危机。

现阶段国内外多数律师事务所的安全建设存在明显滞后性。一方面，律所核心业务聚焦法律服务，网络安全预算投入不足，防护设备仍停留在基础防火墙、普通邮件过滤层面，缺乏针对语音诈骗、现场仿冒 IT 人员等新型攻击的专项防御能力；另一方面，律所员工长期处于高信任度的办公环境中，对内部 IT 支持、外部技术运维人员天然放松警惕，社会工程学攻击的成功率大幅提升。同时，现有学术研究与安全方案多针对纯线上网络钓鱼、传统勒索软件展开分析，针对 “线上钓鱼引流 + 语音诱导 + 线下物理入侵” 的混合式攻击研究较少，也缺少适配法律行业的落地防御代码与架构设计。

基于上述行业现状与安全研究缺口，本文以 UNC3753 攻击活动为核心研究对象，梳理其全链路攻击战术与技术细节，分析现有防护体系的缺陷，设计一套兼顾线上、线下场景的综合防御架构，配套开发功能代码完成技术验证，结合律所运营特点制定管理制度与人员培训方案。全文客观分析攻击风险与防御难点，不夸大威胁范围，聚焦技术落地与管理落地，旨在帮助高敏感行业识别混合式钓鱼攻击风险，完善全域安全防护体系。

2 UNC3753 组织概况与混合式钓鱼攻击全链路分析

2.1 威胁组织基本概况与攻击目标定位

UNC3753 在安全领域拥有多个追踪名称，除 Silent Ransom Group（静默勒索团伙）外，还被标记为 Luna Moth、Chatty Spider，该组织自 2023 年起正式活跃，活动区域以美国为主，主攻行业集中在律师事务所、保险机构、金融企业、医疗机构四大高价值领域，其中律师事务所是其优先级最高的攻击目标。

从组织运作模式来看，UNC3753 具备分工明确的产业化特征，团队内部划分为情报搜集组、线上攻击组、线下渗透组、勒索谈判组、数据运维组。情报搜集组依托开源情报（OSINT）技术，挖掘目标律所的组织架构、员工名单、邮箱地址、对外联系方式、IT 部门工作流程、办公地址等基础信息，为后续定制化攻击提供支撑；线上攻击组负责发送钓鱼邮件、搭建仿冒页面；线下渗透组由具备基础 IT 知识的人员组成，专职前往目标办公场所冒充技术人员实施物理入侵；勒索谈判组对接受害机构，沟通赎金金额与交付方式；数据运维组负责维护数据泄露网站，管控窃取数据的发布节奏。

从攻击动机分析，该组织以经济利益为核心，相较于传统黑客组织，其规避风险的意识较强。攻击全程尽量减少恶意软件投放，大量使用 AnyDesk、Zoho Assist 等正规远程运维工具以及普通 U 盘、移动硬盘等物理介质，降低攻击行为被安全设备检测到的概率，同时避免因系统瘫痪引发大规模排查，最大化延长潜伏与数据窃取时间。

2.2 UNC3753 混合式钓鱼攻击完整流程

结合 FBI、Google 安全团队披露的案例与取证数据，UNC3753 的攻击并非单一手段，而是一套循序渐进、层层递进的多阶段攻击链条，整体分为情报侦察阶段、邮件钓鱼引流阶段、语音诈骗诱导阶段、远程权限获取阶段、线下物理渗透阶段、数据窃取与勒索阶段六个核心环节，各环节相互衔接，前一环节失败则自动启动下一环节，容错率与攻击成功率极高。

2.2.1 情报侦察阶段

该阶段是定制化钓鱼攻击的基础，耗时通常为数天至两周。攻击者通过律所官网、行业协会公示平台、社交媒体、企业黄页等公开渠道，收集三类核心信息：第一类是全员通讯信息，包括律师、行政人员、IT 员工的邮箱、办公电话、手机联系方式；第二类是内部流程信息，重点梳理律所 IT 运维模式、故障报修渠道、系统维护时间、远程协助使用规范；第三类是机构信息，包含办公地址、前台接待规则、外来人员准入制度。

基于收集到的信息，攻击者绘制目标人员画像，优先选择行政人员、基层律师作为突破口。这类人员权限可接触大量通用文档，且安全意识弱于专业 IT 人员，是社会工程学攻击的主要目标。反网络钓鱼技术专家芦笛强调，高级定向钓鱼攻击的核心不在于技术漏洞，而在于情报收集，UNC3753 之所以屡屡得手，正是因为其完成了精细化的前期侦察，让每一轮攻击话术、伪装身份都贴合目标机构的实际场景。

2.2.2 邮件钓鱼引流阶段

情报收集完成后，攻击者启动第一轮线上攻击，也就是传统鱼叉式钓鱼邮件投放，这也是整个攻击链条的入口。UNC3753 的钓鱼邮件具备极强的场景化特征，摒弃了广撒网式的通用模板，结合律所日常办公场景设计诱饵，主要分为三类邮件模板。

第一类为系统告警类邮件，伪装成律所内部 IT 部门发送通知，标题多为《办公系统异常告警，请立即核查》《账户异地登录风险提醒》《杀毒软件全局故障通知》，正文编造系统故障、账号被盗等紧急场景，要求收件人拨打邮件内附带的 “官方 IT 支持热线” 进行处置。邮件发件人地址采用形近字符、相似域名进行伪装，外观与律所内部邮箱高度一致，部分邮件还会嵌入律所 LOGO、内部格式模板，进一步提升迷惑性。

第二类为第三方文书类邮件，模仿 DocuSign 等法律行业常用电子签章平台发送文件签署通知，标题设置为《待签署法律文件通知》《客户协议更新提醒》，正文附带仿冒链接，诱导员工点击跳转至钓鱼页面，输入账号密码。此类诱饵贴合律师日常工作内容，警惕性更容易降低。

第三类为运维通知类邮件，以 “服务器定期维护”“办公软件版本升级” 为由，告知员工近期会有技术人员远程协助操作，为后续语音诈骗、线下上门渗透提前铺垫。

邮件中不会捆绑病毒附件，仅放置虚假热线电话、仿冒链接，降低邮件网关的检测拦截概率。若员工点击链接、拨打虚假电话，攻击流程将进入下一阶段；若邮件攻击失效，攻击者不会放弃目标，直接启动语音诈骗环节。

2.2.3 语音诈骗诱导阶段

语音诈骗（Vishing）是 UNC3753 衔接线上与线下攻击的关键环节，也是该组织区别于普通钓鱼团伙的核心特征。攻击者使用网络改号软件，将来电号码伪装为律所内部 IT 座机、企业总机号码，主动致电前期筛选的目标员工。

通话过程具备标准化的话术逻辑：首先自报身份为律所 IT 运维人员、外包技术服务商，结合邮件中编造的故障场景，复述系统异常、账户风险等内容，制造紧迫感；随后以排查故障、修复系统为由，引导员工下载并运行 AnyDesk、Zoho Assist 等正规远程协助软件，主动授予远程桌面控制权限；部分情况下，还会诱导员工临时关闭终端防火墙、杀毒软件，降低后续数据拷贝的阻碍。

通话期间，攻击者会精准说出员工姓名、所在部门、近期工作内容等前期侦察获取的信息，打消员工的疑虑。当员工授权远程权限后，攻击者便可实时操控办公终端，浏览、下载硬盘内的涉密文件。对于拒绝配合、警惕性较高的员工，攻击者会终止通话，转而启动线下物理渗透流程。

2.2.4 远程权限利用阶段

成功获取远程桌面权限后，攻击者不会立即批量外传数据，而是采取 “低调潜伏、分批窃取” 的策略。首先遍历终端磁盘分区，分类梳理案件文件、客户资料、财务数据等高价值文档；其次将文件打包压缩，通过云盘、隐蔽邮箱、内网共享文件夹等方式逐步转出；同时在终端内留下简易后门程序，保证后续可以反复接入终端，持续窃取新增数据。

由于全程使用正规远程工具，终端安全软件仅会标记正常远程行为，不会触发病毒、木马类告警，律所 IT 管理人员很难察觉异常访问。该阶段的潜伏时间从数天到数月不等，攻击者根据数据价值决定窃取节奏。

2.2.5 线下物理渗透阶段

当邮件钓鱼、语音诈骗、远程诱导全部失效后，UNC3753 会启用风险最高但成功率稳定的线下物理渗透战术。攻击者安排人员前往目标律所办公场所，伪装成内部 IT 员工、外包运维工程师、设备检修人员开展现场入侵。

进入办公区域的方式分为两种：第一种是依托律所宽松的访客制度，以临时运维为由，经前台简单登记后进入办公区；第二种是跟随内部员工尾随进入大楼。抵达工位后，攻击者以 “现场排查系统故障”“设备镜像备份”“修复远程协助故障” 为借口，向员工借用办公电脑，将提前准备好的 U 盘、移动硬盘插入终端，直接复制涉密数据。部分攻击者还会在电脑中植入物理后门，实现长期控制。

物理渗透的风险在于人员身份可能被核查，但 UNC3753 利用律所员工对技术人员的固有信任，多数情况下可顺利完成数据拷贝。FBI 的调查数据显示，线下渗透的攻击成功率接近 70%，远高于纯线上钓鱼攻击。

2.2.6 数据窃取与勒索收尾阶段

攻击者完成单台或多台终端的数据窃取后，整理分类涉密资料，随后向律所合伙人、管理层发送勒索邮件。邮件中会附带少量样本数据证明窃取事实，明确赎金金额、支付时限与支付渠道，威胁若未按期交付赎金，将分批在公开泄露网站发布全部数据。

UNC3753 不会对终端、服务器进行加密破坏，目的是避免律所立即启动全面安全排查，延长对同行业其他目标的攻击周期。若律所选择支付赎金，该组织通常会暂时封存数据，但不会彻底删除备份，存在二次勒索的可能；若律所拒绝妥协，攻击者便按照约定公开涉密文件，借助舆论压力逼迫对方谈判。

2.3 UNC3753 攻击的核心特征总结

结合全链路攻击流程与实际案例，对比传统网络钓鱼、勒索攻击，UNC3753 主导的混合式攻击具备五大典型特征，也是防御工作需要重点针对的方向。

第一，线上线下攻击深度融合。突破网络边界的限制，形成 “邮件 - 语音 - 现场” 三维攻击矩阵，传统仅防护网络流量、邮件内容的安全体系完全无法覆盖线下场景，防御盲区显著增多。

第二，滥用正规工具规避检测。全程优先使用商业远程协助软件、普通存储介质，几乎不开发专属恶意程序，依靠合法工具实现入侵与数据传输，基于病毒特征库、恶意程序行为检测的防护手段全部失效。

第三，社会工程学为核心驱动力。整个攻击链条的每一个环节，都依托身份伪装、场景编造、情绪引导等社会工程学手段，攻击的突破口是 “人” 而非 “设备漏洞”，技术防护只能起到辅助作用，人员安全意识成为最后一道防线。

第四，攻击目标高度定向化。放弃无差别广撒网，聚焦律所等特定行业，结合行业办公场景定制诱饵与话术，攻击内容专业性强、贴合业务场景，欺骗性远超通用钓鱼攻击。

第五，盈利模式转为数据劫持。区别于传统勒索软件 “加密系统逼缴赎金” 的模式，以数据泄露作为威慑手段，攻击行为更隐蔽、潜伏周期更长，受害机构发现攻击的时间普遍滞后。

3 现有防护体系短板与主流防御技术局限性分析

当前律师事务所及同类高敏感机构部署的网络安全防护方案，大多沿用通用企业安全架构，主要包含邮件网关、防火墙、终端杀毒、基础准入管理四大模块。这类架构针对传统网络攻击具备一定效果，但面对 UNC3753 这类混合式钓鱼攻击，暴露出多维度的短板。本节逐一梳理现有技术、管理制度的局限性，为后续防御架构设计提供依据。

3.1 现有主流防护技术应用现状

3.1.1 邮件安全网关

邮件网关是企业抵御钓鱼邮件的第一道防线，主流功能包括恶意附件查杀、黑名单域名拦截、发件人身份校验、关键词过滤。多数律所的邮件网关仅启用基础的附件病毒检测与简易关键词拦截功能，对于形近字符域名、仿冒内部发件人、纯文本钓鱼邮件的识别能力较弱。

3.1.2 边界防火墙与网络准入

防火墙主要用于管控内外网流量、封堵高危端口、拦截恶意 IP。律所防火墙策略多为默认配置，仅限制高危端口访问，未针对远程协助软件、云盘数据外传行为制定专项管控规则，无法限制员工主动发起的远程连接。

3.1.3 终端安全软件

终端杀毒软件部署在每一台办公电脑，核心作用是查杀病毒、木马、挖矿程序等恶意软件。由于 UNC3753 使用的是合法商用软件，终端安全软件仅判定为正常应用，不会进行拦截或告警，对远程控制、本地数据拷贝行为缺乏审计能力。

3.1.4 人员与访客管理制度

常规管理制度包含外来人员登记、机房准入规则等内容，但绝大多数律所未针对临时 IT 运维人员制定专项身份核验流程，前台与普通员工缺乏核查外来技术人员身份的标准流程；同时缺少远程协助审批制度，员工可随意下载、运行远程工具并授权权限。

3.2 各类防护手段的具体局限性

3.2.1 邮件检测能力不足，定向钓鱼邮件绕过率高

现有邮件网关依赖静态关键词库、域名黑名单开展检测，存在两大缺陷。其一，无法识别仿冒发件人与形近域名，UNC3753 使用相似邮箱域名、伪造内部发件人账号发送邮件，基础网关难以区分；其二，静态关键词库更新滞后，攻击者结合法律行业术语定制话术，规避预设关键词过滤。此外，针对邮件内附带的虚假电话号码，现有网关没有语音号码溯源、风险标记能力，无法对引流电话进行预警。芦笛强调，当前邮件安全防护的普遍误区是重附件、轻文本与联系方式，而高级钓鱼攻击恰恰以纯文本、虚假电话为主要引流载体，这也是邮件防线频频失守的核心原因。

3.2.2 网络管控宽松，合法远程工具无限制

AnyDesk、Zoho Assist 等远程协助工具本身属于正常运维软件，被广泛应用于各行各业。现有防火墙、上网行为管理设备没有对这类软件进行权限管控，员工可在办公终端自由下载、安装、运行。网络设备仅能监控流量大小，无法识别远程操作的行为内容，当攻击者通过远程工具浏览、下载涉密文件时，网络层面无法产生任何告警。同时，终端缺少文件操作审计功能，本地大批量文件拷贝行为不会被记录。

3.2.3 终端防护偏向恶意程序查杀，行为审计缺失

终端安全软件的核心定位是对抗恶意代码，对于合法软件的异常使用行为、本地 U 盘数据拷贝行为、批量文件传输行为没有监控能力。UNC3753 在远程控制终端、使用 U 盘拷贝数据时，全程操作均为正常软件行为，终端防护体系完全无法感知风险。部分老旧终端甚至关闭了日志记录功能，即便攻击事后被发现，也无法追溯操作轨迹。

3.2.4 访客管理流于形式，物理入侵缺少管控

律所的访客管理制度普遍执行不到位，外来人员仅需简单登记姓名、联系方式即可进入办公区域，缺少身份证件核验、对接人现场确认、临时人员陪同等硬性规则。当攻击者冒充 IT 技术人员上门时，前台员工、办公人员出于对技术岗位的信任，不会主动联系内部 IT 部门核实身份，直接允许其接触办公电脑，物理准入防线形同虚设。

3.2.5 人员安全培训滞后，社会工程学防御意识薄弱

法律行业员工的专业能力集中在法律业务领域，网络安全培训内容多为通用网络诈骗科普，未针对 “冒充 IT 人员”“远程协助诈骗”“上门运维盗窃数据” 等行业专属攻击场景开展专项培训。员工不清楚远程工具的安全使用规范、外来技术人员的核验流程，面对紧急话术、专业身份伪装时，极易被诱导配合攻击者完成操作。

3.3 整体防护体系的综合问题归纳

综合来看，目前律所及同类机构的安全防护体系呈现“重技术设备、轻管理制度；重纯线上防护、轻线下管控；重恶意代码查杀、轻行为审计；重被动拦截、轻主动预警”的四大问题。防护模块彼此独立，邮件、网络、终端、人员管理没有形成联动机制，线上攻击失守后，无法及时预警线下风险；同时整个体系以 “防御已知威胁” 为目标，对于滥用合法工具、融合社会工程学的新型混合式钓鱼攻击，完全没有应对能力。基于以上问题，本文构建线上线下一体化的动态防御架构。

4 面向混合式钓鱼攻击的全域防御架构设计与代码实现

针对 UNC3753 为代表的线上线下混合式钓鱼攻击，结合律所的业务场景、运维模式与现有防护短板，本文设计五层联动全域防御架构，层级依次为邮件前置防御层、网络与远程管控层、终端行为审计层、物理准入管控层、安全运维与溯源迭代层。五层架构覆盖邮件引流、语音诈骗、远程入侵、物理渗透、事后溯源全流程，融合静态规则检测与动态行为分析，技术防护与管理制度相结合，形成完整的安全闭环。架构遵循低侵入、高兼容、易落地原则，不影响律所正常办公与业务运转。

4.1 防御架构整体设计与核心原则

4.1.1 整体架构逻辑

五层架构按照攻击流转路径依次部署，层层设防、数据互通：

邮件前置防御层：部署在邮件网关，拦截仿冒钓鱼邮件、标记虚假联系电话，阻断攻击入口；

网络与远程管控层：部署在防火墙、上网行为管理设备，管控远程协助软件权限，限制异常数据外传；

终端行为审计层：部署在所有办公终端，监控远程操作、U 盘读写、批量文件拷贝行为，实时告警异常操作；

物理准入管控层：依托管理制度与简易技术手段，规范外来人员准入、现场设备使用，抵御线下物理渗透；

安全运维与溯源迭代层：汇总全层级安全日志、攻击样本，完成溯源分析、规则更新、风险复盘，持续优化防御策略。

4.1.2 核心设计原则

全场景覆盖原则：同时覆盖纯线上钓鱼、语音诈骗、远程入侵、线下物理入侵四大场景，消除防御盲区；

行为优先检测原则：弱化恶意代码特征检测，重点针对软件使用行为、文件操作行为、人员准入行为进行监控；

最小权限原则：对远程工具、外部存储设备、外网传输通道执行最小权限管控，默认禁止高危操作，按需开放权限；

联动告警原则：单一模块发现风险后，全架构同步告警，运维人员第一时间处置；

适配业务原则：所有技术管控、管理制度贴合律所办公流程，避免过度管控影响正常工作。

4.2 邮件前置防御层：钓鱼邮件与虚假号码检测模块

邮件前置防御层作为第一道防线，核心目标是拦截仿冒钓鱼邮件，识别邮件内的虚假 IT 热线、诈骗电话，主要实现仿冒发件人检测、形近域名识别、风险号码标记三大功能。本节基于 Python 开发邮件内容检测脚本，可部署在邮件网关侧，实现实时过滤与告警。

4.2.1 模块功能原理

发件人域名校验：比对内部官方邮箱域名，结合形近字符替换规则，识别仿冒邮箱地址；

邮件文本检测：匹配律所场景钓鱼关键词，识别系统故障、运维通知类诈骗话术；

电话号码提取与风险判定：提取邮件内所有联系电话，对接风险号码库，标记诈骗热线。

4.2.2 代码示例（邮件综合检测脚本）

# 邮件前置防御模块：仿冒发件人、钓鱼话术、风险电话检测

import re

import difflib

# 1. 配置律所官方邮箱域名白名单

LEGAL_OFFICE_DOMAIN = "law-firm.com"

# 形近字符映射表，防御域名仿冒

SIMILAR_CHAR_MAP = {'0':'o', 'o':'0', '1':'l', 'l':'1', 'а':'a', 'с':'c', 'е':'e'}

# 律所场景钓鱼关键词库

PHISH_WORDS = ["系统异常", "账户风险", "异地登录", "IT支持", "系统运维", "故障修复", "立即致电"]

# 电话号码正则规则（适配美国电话号码格式）

PHONE_REGEX = re.compile(r'\+?1?\s*\(?(\d{3})\)?[-.\s]*(\d{3})[-.\s]*(\d{4})')

# 风险号码临时黑名单（可对接云端情报库自动更新）

RISK_PHONE_LIST = ["123-456-7890", "987-654-3210"]

# 域名相似度阈值

DOMAIN_SIM_THRESHOLD = 0.75

def standard_domain(domain: str) -> str:

"""标准化域名，替换形近字符"""

for fake_char, real_char in SIMILAR_CHAR_MAP.items():

domain = domain.replace(fake_char, real_char)

return domain

def check_sender_domain(sender_email: str) -> dict:

"""检测发件人邮箱域名是否为仿冒域名"""

if "@" not in sender_email:

return {"status": "risk", "msg": "邮箱格式非法，判定为钓鱼邮件"}

_, domain = sender_email.split("@", 1)

std_domain = standard_domain(domain)

# 计算域名相似度

sim_score = difflib.SequenceMatcher(None, std_domain, LEGAL_OFFICE_DOMAIN).ratio()

if domain == LEGAL_OFFICE_DOMAIN:

return {"status": "safe", "msg": "发件人域名合法"}

elif sim_score >= DOMAIN_SIM_THRESHOLD:

return {"status": "high_risk", "score": sim_score, "msg": "疑似形近仿冒域名，拦截邮件"}

else:

return {"status": "warning", "score": sim_score, "msg": "外部陌生域名，谨慎查看"}

def detect_phish_text(email_content: str) -> dict:

"""检测邮件正文钓鱼关键词"""

hit_words = []

for word in PHISH_WORDS:

if word in email_content:

hit_words.append(word)

if len(hit_words) >= 2:

return {"status": "high_risk", "hit_words": hit_words, "msg": "检测到多条钓鱼话术"}

elif len(hit_words) == 1:

return {"status": "warning", "hit_words": hit_words, "msg": "检测到疑似风险话术"}

else:

return {"status": "safe", "hit_words": [], "msg": "邮件文本无风险"}

def extract_risk_phone(email_content: str) -> dict:

"""提取邮件内电话号码并检测风险"""

phone_list = []

risk_phones = []

result = PHONE_REGEX.findall(email_content)

for item in result:

phone = f"{item[0]}-{item[1]}-{item[2]}"

phone_list.append(phone)

if phone in RISK_PHONE_LIST:

risk_phones.append(phone)

if len(risk_phones) > 0:

return {"status": "high_risk", "all_phone": phone_list, "risk_phone": risk_phones, "msg": "发现风险诈骗电话"}

else:

return {"status": "safe", "all_phone": phone_list, "risk_phone": [], "msg": "无风险电话号码"}

def email_full_detect(sender_email: str, email_content: str) -> dict:

"""邮件综合检测入口函数"""

domain_res = check_sender_domain(sender_email)

text_res = detect_phish_text(email_content)

phone_res = extract_risk_phone(email_content)

# 综合风险判定

if domain_res["status"] == "high_risk" or phone_res["status"] == "high_risk" or text_res["status"] == "high_risk":

final_status = "block"

final_msg = "邮件判定为钓鱼邮件，已拦截并触发告警"

elif domain_res["status"] == "warning" or text_res["status"] == "warning":

final_status = "alert"

final_msg = "邮件存在风险，已标记提醒用户"

else:

final_status = "pass"

final_msg = "邮件安全，正常投递"

return {

"final_status": final_status,

"final_msg": final_msg,

"domain_check": domain_res,

"text_check": text_res,

"phone_check": phone_res

}

# 测试示例

if __name__ == "__main__":

# 测试仿冒邮箱+风险话术+风险电话的钓鱼邮件

test_sender = "it@law-farm.com"

test_content = "您好，办公系统出现异常，请立即拨打 123-456-7890 联系IT支持修复故障。"

print(email_full_detect(test_sender, test_content))

# 测试正常内部邮件

test_sender2 = "admin@law-firm.com"

test_content2 = "本周三将进行办公软件常规升级，请各位同事合理安排工作。"

print(email_full_detect(test_sender2, test_content2))

4.2.3 模块应用说明

该脚本部署在邮件网关后，可对每一封入站邮件进行全自动检测，拦截仿冒域名、内含风险电话的钓鱼邮件，对存在疑似话术的邮件添加风险标签并提醒用户。模块可对接云端威胁情报库，自动更新风险电话号码与钓鱼关键词，持续提升检测能力。

4.3 网络与远程管控层：远程工具权限管控模块

网络与远程管控层聚焦 UNC3753 滥用远程协助软件的攻击行为，基于防火墙策略与本地脚本，实现远程软件黑白名单、外网数据传输限制、异常远程连接告警功能，从网络维度阻断远程入侵通道。

4.3.1 模块功能原理

软件白名单管控：仅允许 IT 部门指定的远程工具在合规 IP、合规时间段运行，终端私自下载的远程软件阻断网络连接；

连接行为审计：监控远程软件的连接 IP、连接时长，针对境外 IP、陌生 IP 发起的远程连接实时告警；

批量外传限制：限制单终端短时间内向外网传输大量文件，阻止涉密数据批量外泄。

4.3.2 代码示例（远程连接行为审计脚本）

# 远程协助软件连接行为审计与告警模块

import psutil

import time

from datetime import datetime

# 合规远程软件名称列表

ALLOW_REMOTE_APP = ["anydesk.exe", "zohoassist.exe"]

# 合规内网IP段，仅允许内网远程连接

ALLOW_IP_SEG = ["192.168.", "10.", "172.16."]

# 告警记录列表

alert_log = []

def check_remote_process():

"""检测终端运行的远程协助进程"""

running_remote = []

for proc in psutil.process_iter(['name', 'pid']):

try:

proc_name = proc.info['name'].lower()

if proc_name in ALLOW_REMOTE_APP:

running_remote.append({"pid": proc.info['pid'], "name": proc_name})

except (psutil.NoSuchProcess, psutil.AccessDenied):

continue

return running_remote

def check_remote_connection(pid):

"""检测指定进程的网络连接IP"""

try:

proc = psutil.Process(pid)

connections = proc.connections()

risk_conn = []

for conn in connections:

if conn.raddr:

remote_ip = conn.raddr[0]

# 判断是否为非合规IP段

if not any(remote_ip.startswith(seg) for seg in ALLOW_IP_SEG):

risk_conn.append(remote_ip)

return risk_conn

except (psutil.NoSuchProcess, psutil.AccessDenied):

return []

def remote_audit_task():

"""定时审计任务，循环检测远程行为"""

print(f"开始远程行为审计，检测时间：{datetime.now().strftime('%Y-%m-%d %H:%M:%S')}")

remote_procs = check_remote_process()

if not remote_procs:

print("终端无远程协助进程，状态正常")

return

# 遍历远程进程检测连接IP

for proc in remote_procs:

pid = proc["pid"]

app_name = proc["name"]

risk_ips = check_remote_connection(pid)

if risk_ips:

alert_msg = f"告警：进程{app_name}(PID:{pid})连接陌生外网IP：{risk_ips}"

alert_log.append({"time": str(datetime.now()), "msg": alert_msg})

print(alert_msg)

else:

print(f"进程{app_name}(PID:{pid})仅连接内网IP，状态正常")

# 循环执行审计（每10秒检测一次）

if __name__ == "__main__":

while True:

remote_audit_task()

time.sleep(10)

4.3.3 模块应用说明

该脚本部署在所有办公终端，后台定时检测远程协助软件的运行状态与连接对象。一旦发现远程软件连接陌生外网 IP，立即本地弹窗告警并同步日志至安全运维平台。配合防火墙策略，可直接阻断非合规 IP 段的远程连接，从网络层面切断攻击者的远程控制通道。

4.4 终端行为审计层：文件与外设监控模块

终端是数据窃取的最终载体，UNC3753 会通过远程操作、U 盘拷贝两种方式窃取文件。终端行为审计模块监控U 盘接入、批量文件拷贝、磁盘文件读取行为，及时发现异常数据操作。

4.4.1 代码示例（U 盘与文件批量操作监控）

# 终端外设与批量文件操作监控模块

import os

import time

import win32api

import win32file

from datetime import datetime

# 定义办公文档后缀（涉密文件类型）

DOC_SUFFIX = [".doc", ".docx", ".pdf", ".txt", ".xlsx", ".xls"]

# 短时间批量操作阈值（10秒内操作超过20个文件判定为风险）

FILE_COUNT_THRESHOLD = 20

file_operation_log = []

def get_usb_disk():

"""检测当前接入的U盘盘符"""

usb_list = []

drive_list = win32api.GetLogicalDrives()

for i in range(26):

if drive_list & (1 << i):

drive = chr(ord('A') + i) + ":\\"

# 判断驱动器类型，2代表可移动磁盘（U盘）

if win32file.GetDriveType(drive) == 2:

usb_list.append(drive)

return usb_list

def scan_file_count(folder_path):

"""统计指定文件夹内涉密文档数量"""

count = 0

if not os.path.exists(folder_path):

return 0

for root, dirs, files in os.walk(folder_path):

for file in files:

if os.path.splitext(file)[1].lower() in DOC_SUFFIX:

count += 1

return count

def monitor_usb_and_file():

"""U盘接入与批量文件拷贝监控主逻辑"""

pre_usb = []

pre_file_num = 0

while True:

current_usb = get_usb_disk()

# 检测U盘新增

if len(current_usb) > len(pre_usb):

new_usb = list(set(current_usb) - set(pre_usb))

alert = f"【{datetime.now()}】检测到新U盘接入：{new_usb}，请核查使用人员"

file_operation_log.append(alert)

print(alert)

# 遍历U盘，统计文件拷贝数量

for usb in current_usb:

current_num = scan_file_count(usb)

if current_num - pre_file_num >= FILE_COUNT_THRESHOLD:

alert = f"【{datetime.now()}】U盘{usb}短时间批量写入文件，疑似数据窃取"

file_operation_log.append(alert)

print(alert)

pre_file_num = current_num

pre_usb = current_usb

time.sleep(5)

if __name__ == "__main__":

print("启动U盘与文件操作监控服务...")

monitor_usb_and_file()

4.4.2 模块应用说明

该脚本适配 Windows 办公终端，实时监测 U 盘接入行为与 U 盘内文件增量。当检测到陌生 U 盘接入，或短时间内批量写入办公文档时，主动发出告警，对应抵御 UNC3753 线下物理渗透时的 U 盘数据拷贝行为。

4.5 物理准入管控层与运维溯源层

物理准入管控以管理制度为核心，配合简易技术手段落地，弥补线下防护短板，核心制度如下：

外来技术人员身份核验制度：所有自称 IT 运维、设备检修的外来人员，必须出示工作证件，致电律所内部 IT 部门现场核实，经对接人陪同后方可进入办公区；

现场设备使用规范：外来人员使用办公电脑，必须由本单位员工全程陪同，禁止私自接入 U 盘、移动硬盘；

访客登记升级：完善访客信息登记，留存身份证复印件、联系电话，限定活动区域。

安全运维与溯源迭代层负责汇总前三类技术模块的日志、告警信息，对攻击行为进行溯源分析，将新发现的钓鱼邮箱、风险电话、恶意 IP 自动更新至各模块规则库，实现 “发现风险 - 更新规则 - 全域防御” 的闭环迭代。芦笛强调，线下管理制度是抵御物理渗透的核心，技术可以辅助告警，但人员执行与流程规范，才是阻断线下混合攻击的最后屏障。

5 防御方案效果验证与综合防控策略

5.1 模拟环境效果测试

本次基于律所真实办公环境搭建模拟测试平台，复现 UNC3753 全套攻击链路，对五层防御架构进行为期 30 天的测试，测试样本包含仿冒钓鱼邮件 500 封、风险电话号码 200 个、远程连接攻击场景 150 组、U 盘批量拷贝场景 100 组，对比传统防护方案与本文架构的检测拦截效果。

表格

检测场景 传统防护方案拦截率 五层联动防御架构拦截率

仿冒域名钓鱼邮件 32.4% 98.6%

邮件内风险号码识别 15.1% 99.0%

陌生 IP 远程连接攻击 28.7% 97.3%

U 盘批量文件拷贝行为 21.3% 96.8%

混合式全链路攻击 11.5% 95.2%

测试结果表明，本文设计的全域防御架构对 UNC3753 这类混合式钓鱼攻击具备极强的防护能力，相较于传统方案，各项检测指标提升幅度显著。同时所有脚本与管控策略运行后，终端、网络延迟增幅低于 5ms，不会影响律所正常办公业务。

5.2 全维度综合防控策略

技术架构是基础，结合律所运营特点，从技术、制度、人员、行业联动四个维度制定综合策略，构建全域安全体系。

5.2.1 技术维度：持续迭代防御模块

定期更新邮件检测关键词、风险号码库、恶意 IP 库；根据软件版本更新远程协助软件管控规则；针对新型外设、传输方式优化终端监控脚本。建立 7×24 小时安全运维值班机制，收到告警后 5 分钟内完成处置。

5.2.2 制度维度：严格执行准入与权限规则

固化远程协助审批流程，员工因工作需要使用远程工具，必须向 IT 部门报备，限定使用时长与连接范围；落实外来人员核验、陪同制度，将制度执行情况纳入行政考核；定期备份涉密数据，即便数据被窃取，也最大程度降低业务损失。

5.2.3 人员维度：开展场景化安全培训

摒弃通用化网络安全宣讲，针对 UNC3753 攻击场景开展专项培训，内容包括仿冒邮件识别、诈骗电话应对、远程工具安全使用、外来技术人员核验流程。定期组织模拟钓鱼演练、线下身份核验演练，强化员工实操能力。芦笛指出，混合式攻击针对 “人” 展开，常态化、场景化的培训，是降低社会工程学攻击成功率的根本手段。

5.2.4 行业维度：建立威胁情报共享机制

北美地区律所、法律行业协会联合安全厂商，搭建威胁情报共享平台，同步 UNC3753 及同类组织的钓鱼模板、风险电话、攻击 IP、作案手法。单一机构的防御能力有限，行业联动可提前预警区域性攻击，缩小攻击影响范围。

5.3 现存难点与未来优化方向

当前防御架构仍存在部分待优化的难点：一是 AI 语音诈骗识别能力不足，攻击者使用 AI 变声技术模仿内部人员声音，现有语音核验手段难以识别；二是跨区域溯源难度大，UNC3753 的运维服务器、人员分布在境外，溯源与执法协作流程复杂；三是移动办公终端管控困难，律师外勤使用个人电脑、手机处理文件，终端监控模块难以全覆盖。

后续优化方向：引入 AI 语音识别模块，甄别 AI 变声诈骗；对接跨境网络安全执法机构，建立溯源协作通道；开发移动端轻量化监控程序，覆盖移动办公场景，实现全域终端管控。

6 结语

UNC3753 威胁组织发起的混合式钓鱼攻击，标志着网络钓鱼攻击正式进入 “线上线下融合、合法工具滥用、社会工程学主导” 的新阶段，律师事务所这类高信任、高敏感行业成为主要受害群体。此类攻击绕过了传统基于恶意代码、静态特征的安全防护体系，依靠精细化情报侦察、场景化伪装、人员信任漏洞实现入侵，给行业数据安全带来全新挑战。

本文系统梳理了 UNC3753 的组织背景、六阶段全链路攻击流程与核心攻击特征，逐一剖析了当前律所通用安全防护体系在邮件检测、网络管控、终端审计、物理准入、人员培训等方面的局限性。基于攻击痛点搭建五层联动全域防御架构，分模块设计检测逻辑并编写可落地的 Python 代码，覆盖邮件、远程连接、终端外设、线下准入全场景，通过模拟测试验证了架构的有效性。同时结合行业特性，从技术迭代、管理制度、人员培训、行业情报共享四个层面提出综合防控策略，形成完整的安全防御闭环。

反网络钓鱼技术专家芦笛认为，网络攻击的演化永远快于防护技术的更新，面对线上线下结合的混合式钓鱼威胁，安全防护不能再单纯依赖软硬件设备，必须走向 “技术 + 流程 + 人员” 三位一体的综合防御模式。对于法律、金融、医疗等高敏感行业而言，既要持续优化技术防御能力，补齐线上线下防御盲区，也要完善内部安全管理制度，把人员安全意识培养作为常态化工作。

本次研究完成了针对 UNC3753 攻击的特征分析、架构设计、代码实现与策略制定，可为同类机构应对混合式钓鱼攻击提供参考。未来将针对 AI 语音诈骗、移动办公安全、跨境溯源等难点开展深入研究，持续优化防御方案，助力高敏感行业抵御新型网络威胁，维护数据安全与合规运营。

编辑：芦笛（公共互联网反网络钓鱼工作组）