Identitätsbetrug bei „Services Australia“ ist der Motor einer ganzjährigen Operation zum Diebstahl von Zugangsdaten

17. Oktober 2025

Von Ankit Gupta, Hiwot Mendahun und dem Mimecast Threat Research Team

Kampagnenübersicht

Das Mimecast Threat Research-Team verfolgt weiterhin „MCTO3001“, eine seit 2023 andauernde Operation zum Sammeln von Anmeldedaten, die gezielt auf australische Organisationen abzielt. MCTO3001 ist ganzjährig aktiv und nutzt dabei stets neue Themen als Lockmittel, wobei es sich die Autorität und das Vertrauen zunutze macht, die mit der Kommunikation der Regierung verbunden sind. Die hinter MCTO3001 stehenden Angreifer verfolgen einen einheitlichen taktischen Ansatz und nutzen dabei vorwiegend kompromittierte E-Mail-Konten in Verbindung mit legitimen Massen-E-Mail-Diensten wie SendGrid, Mailgun und der Office-365-Infrastruktur.

Ein charakteristisches Merkmal von MCTO3001 ist die systematische Verwendung von .gov.au oder der Verweis auf „gov“-Anzeigenamen in Verbindung mit einer nichtstaatlichen Absenderinfrastruktur. In den E-Mail-Headern sind in den Zeilen „ "“ und „To:" “ durchweg gefälschte oder gänzlich fehlende Empfängerfelder zu erkennen, was auf eine Manipulation der E-Mail-Header hindeutet, die darauf abzielt, einer Entdeckung zu entgehen und gleichzeitig den Anschein offizieller behördlicher Korrespondenz zu wahren. Im Rahmen dieser Operation gibt sich die Organisation strategisch als „Services Australia“ aus und nutzt dabei detaillierte Kenntnisse der australischen Sozialleistungssysteme, darunter die Altersvorsorge („Superannuation“), „Medicare“, Arbeitslosenunterstützung („JobSeeker“) und Familiensteuerbeihilfen.

Aktuelle Kampagnenanalyse

Die jüngste MCTO3001-Phishing-Kampagne richtet sich an australische Nutzer, insbesondere an diejenigen, die über ein Centrelink-Konto verfügen. Der wichtigste Köder dieser Kampagne ist eine E-Mail, in der behauptet wird, dass ein "-Anmelde" oder ein verdächtiger Anmeldeversuch beim Centrelink-Konto des Empfängers festgestellt wurde.

Die E-Mail, die so gestaltet ist, dass sie offiziellen Mitteilungen von Centrelink oder myGov zum Verwechseln ähnlich sieht, fordert den Empfänger auf, sein Konto durch Anklicken eines angegebenen Links zu verifizieren. Diese Social-Engineering-Taktik nutzt das Gefühl der Dringlichkeit und der Angst aus und veranlasst die Nutzer dazu, schnell und ohne die gebotene Vorsicht zu handeln.

Sobald das Opfer auf den Link klickt, wird es auf eine gefälschte MyGov-Anmeldeseite weitergeleitet, die darauf ausgelegt ist, seine Zugangsdaten abzugreifen

Ein wesentliches technisches Merkmal dieser Kampagne ist der Missbrauch von Portmap.io, einem legitimen Reverse-Tunneling-Dienst. Mit Portmap.io können Nutzer lokale Server für das Internet zugänglich machen, indem sie öffentlich zugängliche URLs erstellen, die den Datenverkehr an einen Rechner hinter NAT oder Firewalls weiterleiten.

Angreifer wie MCTO3001 nutzen diesen Dienst aus, um Phishing-Websites schnell einzurichten, ohne neue Domains registrieren oder Hosting-Leistungen erwerben zu müssen. Jeder Phishing-Versuch kann eine eindeutige, zufällig generierte Subdomain und einen Port verwenden (z. B. hxxps://michdev-44475[.]portmap[.]io:44475/wett/tat/), was es für die Verteidiger erschwert, die Infrastruktur zu blockieren oder auf eine Sperrliste zu setzen. Die Nutzung von Portmap.io erschwert zudem die Rückverfolgung, da der tatsächliche Ursprung des Phishing-Servers hinter der Infrastruktur des Dienstes verborgen ist und diese Tunnel es Angreifern ermöglichen, ihre Infrastruktur rasch zu wechseln oder abzubauen, um Erkennungs- und Abschaltmaßnahmen zu umgehen.

Mimecast-Schutz

Mimecast hat Erkennungsfunktionen implementiert, die speziell auf die Muster der Identitätsfälschung durch MCTO3001 im Zusammenhang mit der australischen Regierung ausgerichtet sind, einschließlich einer Analyse des Kommunikationsstils von Services Australia und der Terminologie im Zusammenhang mit der Aussetzung von Sozialleistungen.

Ziele

Umfassende Ausrichtung auf verschiedene australische Branchen und Sektoren

IOCs

Schädliche URLs:

• hxxps://myatoclaimc[.]replit[.]app/
• hxxps://gqr[.]sh/Tbdf
• hxxps://theuniversaldynamic[.]com/shared/
• hxxps://primeraeventsmanagementcompany[.]com/ads
• hxxps://myatoclaima[.]replit[.]app/
• hxxps://nwenwi[.]replit[.]app
• hxxps://digitalpath[.]co[.]in/ads
• hxxps://myaunamend[.]replit[.]app
• hxxps://aunewclmmmm[.]replit[.]app
• hxxps://tirini[.]net/pqoieer/
• hxxps://luyret[.]replit[.]app
• hxxps://auclaimnow[.]replit[.]app
• hxxps://aunewmyclmm[.]replit[.]app

Häufige Muster für Betreffzeilen:

• Sie haben eine Mitteilung bezüglich der Einreichung für den Zeitraum 2024–2025 erhalten
• Wichtige Aktualisierung in myGov verfügbar
• Team für australische Steuerangelegenheiten
• Neues Centralink-Update 2025
• Ihre EFT-Rückerstattung steht bereit
• Neue Nachricht im Posteingang
• Aktualisierung zur Rückerstattungsmitteilung!!!
• Neue Nachricht
• myGov: Benachrichtigung über ausstehende Zahlung
• Eine neue Benachrichtigung in Ihrem myGov-Konto
• Neue Zahlungsmitteilung
• Neue Botschaft für das Jahr 2025
• Wir haben Ihnen einen Steuerbescheid zugesandt
• Neue Einkommensermittlung für das Jahr 2025
• Rufen Sie Ihren aktualisierten Kontoauszug über myGov ab

Empfehlungen

Proaktive Bedrohungssuche:

• Durchsuchen Sie die E-Mail-Empfangsprotokolle und URL-Protokolle nach technischen Indikatoren, die mit diesen Kampagnen in Zusammenhang stehen

Sicherheitsbewusstsein:

• Klären Sie die Nutzer über Betrugsmaschen auf, bei denen sich Betrüger als „Services Australia“ und „Centrelink“ ausgeben,
• Führen Sie Phishing-Simulationen durch, bei denen dringende Szenarien zur Kontosperrung durch Services Australia einbezogen werden, die speziell auf Mitarbeiter im Bildungssektor abzielen
• Weisen Sie darauf hin, dass legitime behördliche Mitteilungen in der Regel über sichere Behördenportale übermittelt werden