UNC3753 setzt in den USA auf Vishing und Vor-Ort-Zugriffe für Datendiebstahl und Erpressung

Zusammenfassung

Google Mandiant und die Google Threat Intelligence Group (GTIG) haben Details zu einer finanziell motivierten Datendiebstahl- und Erpressungskampagne veröffentlicht, die zwischen Januar und Mai 2026 Dutzende Organisationen in den USA getroffen haben soll. Betroffen waren laut den Forschern vor allem Unternehmen aus professionellen Dienstleistungen, Rechtsberatung und Finanzdienstleistungen. Die Aktivitäten schreibt Google einem Akteur zu, den es als UNC3753 verfolgt; weitere Bezeichnungen sind Chatty Spider, Luna Moth und Silent Ransom Group (SRG). Nach Angaben der Forscher Chad Reams, Tufail Ahmed, Keith Knapp, Ashley Frazer und Tyler McLellan verschafft sich die Gruppe per Voice-Phishing und Social Engineering Fernzugriff auf Unternehmensumgebungen. Als Vorwand dienen etwa Datenmigrationen oder rechnungsbezogene E-Mails. Anschließend geben sich die Angreifer am Telefon als IT-Support aus, bewegen ihre Ziele zu Bildschirmfreigaben und lassen sie Remote-Monitoring- und Management-Werkzeuge installieren. In einzelnen Fällen drangen die Täter laut Google sogar physisch in Büros ein, indem sie sich als IT-Techniker ausgaben, um Daten mit USB-Medien zu entwenden. Gestohlen wurden unter anderem vertrauliche Rechtsdokumente, personenbezogene Informationen und Finanzunterlagen.

Im Zentrum der Kampagne steht eine Abfolge aus harmlos wirkenden E-Mails, Anrufen und interaktiver Täuschung. Google zufolge startet UNC3753 Angriffe oft mit unverdächtigen, rechnungsbezogenen Nachrichten, die von durch die Täter kontrollierten privaten E-Mail-Konten verschickt werden. Diese Mails enthalten weder aktive Links noch schädliche Anhänge, sondern sollen vor allem einen Vorwand schaffen und interne Sicherheitsbedenken auslösen, damit nachfolgende Anrufe glaubwürdiger wirken.

Ab etwa März 2025 gab sich die Gruppe laut Google als interne IT-Hotline von Unternehmen aus und brachte Opfer dazu, an Bildschirmfreigaben über Zoom, Microsoft Teams oder Quick Assist teilzunehmen. Als Begründung dienten angebliche Sicherheitsprobleme oder Hilfe bei einem Projekt zur Datenmigration im Unternehmen. Laut Google umgeht diese Vorgehensweise traditionelle Sicherheitskontrollen.

Steht die Sitzung, versuchen die Angreifer nach Darstellung von Google, ihren Zugriff zu verstetigen. Dazu lotsen sie die Betroffenen zur Installation legitimer Fernzugriffsprogramme wie AnyDesk, Bomgar, SuperOps RMM oder Zoho Assist. Die Anweisungen zur Installation werden über den legitimen Dienst privnote[.]com übermittelt, mit dem sich selbstzerstörende Notizen versenden lassen.

Anschließend durchsucht UNC3753 Systeme entweder selbst nach interessanten Dateien oder verleitet die Opfer dazu, die nötigen Schritte in ihrem Auftrag auszuführen. Google beobachtete auch Fälle, in denen Zoom-Sitzungen direkt auf privaten Laptops der Zielpersonen aufgebaut wurden, um darüber auf die virtuelle Desktop-Infrastruktur des Unternehmens zuzugreifen und tiefer in Dateisysteme vorzudringen. Dabei werden lokale und Cloud-Verzeichnisse erfasst, eingebundene Netzlaufwerke durchsucht und Daten aus besonders sensiblen Ordnern gesammelt, darunter Unterlagen zu Steuererklärungen, Audits, Kundenvereinbarungen und Sozialversicherungsnummern.

Für den Abfluss der Daten nutzt die Gruppe laut Google WinSCP oder Rclone. Teilweise werden die erfassten Informationen auch aus dem Postfach des Opfers an von den Tätern kontrollierte E-Mail-Adressen verschickt. Danach folgt meist innerhalb von 30 Minuten nach Verlassen der Umgebung eine Erpressungsnachricht per E-Mail. Darin setzt UNC3753 den Opfern eine Frist von drei Tagen, um Verhandlungen über die Zahlung aufzunehmen. Andernfalls droht die Gruppe damit, Mitarbeiter und externe Kunden direkt über den Vorfall zu informieren und die vollständigen gestohlenen Daten auf der Leak-Seite LEAKEDDATA zu veröffentlichen.

Nach Angaben von Googles Threat-Intelligence- und Incident-Response-Teams lief in vielen untersuchten Fällen die gesamte Operation vom Erstkontakt bis zur Erpressung innerhalb eines einzigen Arbeitstags ab. Das schnelle Vorgehen zeige sich auch daran, dass die Täter Suche, Vorbereitung und Diebstahl der Daten in weniger als einer Stunde einleiten.

Google sieht taktische Überschneidungen zwischen UNC3753 und UNC2686, einem Cluster, das zuvor für BazarCall-ähnliche Kampagnen im Jahr 2021 bekannt war. Beide Gruppen gelten als Ableger der inzwischen aufgelösten Conti-Ransomware-Bande. Während UNC3753 in der Vergangenheit auch LockBit-Black-Ransomware eingesetzt habe, konzentriere sich die Gruppe seit 2022 überwiegend auf reine Erpressungsoperationen ohne Verschlüsselung.

Eine jüngste Eskalation besteht laut Google und einem Hinweis des FBI vom vergangenen Monat in physischen Eindringversuchen. Das FBI erklärte, Akteure der SRG schickten Personen direkt an Standorte der Opfer, um den Einbruch zu unterstützen. Diese gäben sich als IT-Techniker aus, drängen in Büros ein und exfiltrieren Daten auf externe Festplatten oder USB-Sticks, die sie selbst in Rechner der Opfer einstecken.

Parallel dazu berichtet Resecurity über die Nutzung einer Fast-Flux-DNS-Infrastruktur in mehreren Ländern in Lateinamerika, Osteuropa, Zentralasien, dem Nahen Osten und Afrika, Ostasien sowie der Karibik. Durch häufige Änderungen von DNS-Einträgen und kurze TTL-Werte werde die Infrastruktur schwerer zu blockieren und widerstandsfähiger gegen Abschaltungen. Laut Resecurity laufen zwei der beobachteten Domains über ein Fast-Flux-Netz, das von einem Botnetz in 18 Ländern und über 22 Internetanbieter getragen wird. Beide Domains teilten 50 bis 60 Prozent ihres Bot-Pools, was nach Einschätzung des Unternehmens auf einen einzelnen Akteur hindeutet. In der Infrastruktur gebe es keine IP-Adressen aus Rechenzentren oder Hosting-Umgebungen; sämtliche Knoten ließen sich auf Verbraucheranschlüsse zurückführen.

UNC3753 setzt in den USA auf Vishing und Vor-Ort-Zugriffe für Datendiebstahl und Erpressung

Ähnliche Artikel

Neueste Artikel