Nach Darstellung von Google beginnt die typische Angriffskette mit einer unauffälligen, aber harmlosen E-Mail im Stil einer Rechnung. Diese Nachricht enthält weder schädliche Anhänge noch Links, dient den Tätern jedoch als Vorwand für einen anschließenden Anruf. In diesem Gespräch geben sie sich als Mitarbeiter des internen IT-Helpdesks oder des Sicherheitsteams der Zielorganisation aus.

Google zufolge nutzen die Anrufer unterschiedliche mündliche Anweisungen, um das Verhalten der Zielpersonen zu steuern. Unter dem Vorwand, ein Sicherheitsproblem zu beheben oder bei einem unternehmensweiten Datenmigrationsprojekt zu helfen, bauen sie Vertrauen auf und lotsen die Betroffenen in Bildschirmfreigaben über Plattformen wie Zoom, Microsoft Teams und andere Dienste. Wenn möglich, bringen sie die Opfer zusätzlich dazu, AnyDesk, Zoho Assist oder andere Werkzeuge für Remote Monitoring and Management herunterzuladen, um einen dauerhafteren Zugriff auf kompromittierte Geräte zu erhalten.

Mandiant beobachtete zudem, dass UNC3753 Bring-your-own-device-Szenarien im Homeoffice ausnutzt. In mehreren Fällen starteten die Angreifer Zoom-Sitzungen auf privaten Geräten der Zielpersonen und nutzten diese Endpunkte anschließend, um über Werkzeuge wie Windows 365 und Citrix-Clients auf die virtuelle Desktop-Infrastruktur des Unternehmens zuzugreifen.

Sobald die Täter auf einem System sind, gehen sie laut Google sehr schnell vor. Sie erfassen kompromittierte Geräte, kartieren lokale und Netzlaufwerke und suchen gezielt nach sensiblen Dokumentenablagen. Dafür missbrauchen sie auch integrierte Suchfunktionen in Unternehmensplattformen wie iManage, um hochwertige Dateien zusammenzustellen, darunter Steuerunterlagen, Kundenverträge und personenbezogene Informationen.

Für den Abfluss der Daten setzt UNC3753 nach Angaben von Mandiant auf mehrere Wege. Dazu gehören Dateiübertragungswerkzeuge wie WinSCP und Rclone ebenso wie direkte Uploads in von den Angreifern kontrollierte Cloud-Speicherkonten über den Browser des Opfers. Mandiant sah außerdem Fälle, in denen die Täter Betroffene während einer Bildschirmfreigabe dazu brachten, vorbereitete Dateien per Ziehen-und-Ablegen in Cloud-Ordner zu verschieben, oder FTP nutzten, um gestohlene Daten auf eigene Server zu übertragen.

Die Erpressung folgt oft unmittelbar nach dem Datendiebstahl. Laut Mandiant melden sich die Täter mitunter schon 30 Minuten nach erfolgreicher Exfiltration mit einer aggressiven Forderung und setzen den Opfern eine Frist von drei Tagen. Andernfalls drohen sie mit der öffentlichen Offenlegung der sensiblen Daten. Ein von Mandiant veröffentlichtes Beispiel einer Erpressungsnachricht zeigt zudem die Drohung, „Mitarbeiter, Partner und Kunden“ über den Datendiebstahl zu informieren.

Google berichtet außerdem von einer Verschärfung der Vorgehensweise. In einigen Vorfällen gaben sich die Angreifer als IT-Mitarbeiter aus, um physischen Zugang zu Firmenbüros zu erhalten und Daten direkt von Endgeräten zu stehlen. Das FBI warnte im vergangenen Monat ebenfalls vor Mitgliedern der Gruppe, die unter dem Vorwand, ein System neu aufzusetzen, persönlich an einem Opferstandort erschienen und dort ein USB-Gerät einsteckten, um Daten zu entwenden.

Als Gegenmaßnahmen empfiehlt Mandiant, Nutzer gezielt über die Vishing-Bedrohung und die mit UNC3753 verbundenen Taktiken, Techniken und Verfahren aufzuklären. Google nennt außerdem Richtlinien für bedingten Zugriff beim Fernzugang sowie strenge Kontrollen für den Einsatz von RMM-Werkzeugen und Bildschirmfreigaben.