Mimecast Logo
Angebot einholen

    HR-Kampagne verlagert den Schwerpunkt von Qualifikationsnachweisen auf RMM-Tools

    17. Oktober 2025

    Von dem Mimecast Threat Research Team

    Wichtige Punkte
    • Lang andauernde Aktion zum Sammeln von Zugangsdaten durch MCTO3022, die sich gegen Organisationen richtet, wobei sich die Angreifer als Mitarbeiter der Personalabteilung ausgeben
    • Im Rahmen von Kampagnen werden die Compliance-Anforderungen des Mitarbeiterhandbuchs sowie Anträge auf Gehaltsfreigabe berücksichtigt
    • Zu den jüngsten Entwicklungen der Kampagne gehört eine Adobe PDF Sign-Identitätsfälschung, bei der PDQConnect-RMM-Tools anstelle der herkömmlichen Erfassung von Anmeldedaten eingesetzt werden
    • Die Betrugsmaschen zeugen von ausgefeilten Social-Engineering-Methoden, bei denen gefälschte Stellenangebote mit unter dem Deckmantel der Compliance gestellten Lockangeboten in verschiedenen Branchen kombiniert werden.

    Kampagnenübersicht

    Das Mimecast Threat Research-Team beobachtet weiterhin die von MCTO3022 durchgeführte Kampagne zum Sammeln von Anmeldedaten, bei der Organisationen systematisch durch Täuschungsmanöver im Namen der Personalabteilung ins Visier genommen werden. Diese kontinuierliche Maßnahme verbindet traditionelle Anreize zur Einhaltung der Vorgaben des Mitarbeiterhandbuchs mit weiterentwickelten Systemen zur Gehaltsfreigabe und zeugt von einer hohen betrieblichen Reife sowie taktischer Anpassungsfähigkeit über längere Kampagnenzeiträume hinweg. Maßnahmen im Personalbereich konzentrieren sich in der Regel auf die Aktualisierung des Mitarbeiterhandbuchs und die Einhaltung von Compliance-Anforderungen, wobei auf Unternehmensrichtlinien zurückgegriffen wird, die die Einbindung der Mitarbeiter in die Kommunikation des Personalwesens vorschreiben.

    Diese Kampagnen nutzen den routinemäßigen Charakter von Compliance-Prozessen im Personalwesen aus und lassen böswillige Mitteilungen wie normale Geschäftsabläufe erscheinen, deren unverzügliche Erledigung von den Mitarbeitern erwartet wird. MCTO3022 demonstriert seine Umgehungsfähigkeiten durch den strategischen Missbrauch legitimer Dienste, darunter SharePoint-Domänen für das anfängliche Hosting von URLs und Mailchimp-Umfrageplattformen zur Erfassung von Anmeldedaten. Dieser Infrastrukturansatz ermöglicht es dem Angreifer, das Vertrauen und die Zustellbarkeit etablierter Geschäftsplattformen zu nutzen und gleichzeitig durch schnellen Domain-Wechsel und Dienstwechsel operative Flexibilität zu wahren.

    Der Umfang der Operation geht über das herkömmliche Sammeln von Zugangsdaten hinaus und umfasst auch rekrutierungsbasierte Erkundungsmaßnahmen, bei denen gefälschte Stellen als regionale Vertreter ausgeschrieben werden, um detaillierte Informationen über die Bewerber zu sammeln. Dieser zweigleisige Ansatz deutet auf ausgefeilte Fähigkeiten zur Informationsbeschaffung hin, die sowohl den unmittelbaren Diebstahl von Zugangsdaten als auch längerfristige Erkundungsaktivitäten innerhalb der Organisation unterstützen sollen.

    Aktuelle Entwicklungen der Kampagne: Einführung von PDQConnect RMM

    Jüngste Kampagnenaktivitäten zeigen, dass sich MCTO3022 über das herkömmliche Sammeln von Anmeldedaten hinaus weiterentwickelt hat und nun Tools zur Fernüberwachung und -verwaltung (RMM), insbesondere PDQConnect, über die bereits etablierten Köder in Form von Adobe-PDF-Sign-Dateien zur Gehaltsabrechnung einsetzt. Diese taktische Neuausrichtung stellt eine erhebliche Ausweitung der Fähigkeiten des Angreifers dar, der nun vom Diebstahl von Zugangsdaten zur Einrichtung eines dauerhaften Fernzugriffs übergeht.

    HR-Identitätsbetrug RMM 1.png

    Diese Entwicklung steht im Einklang mit allgemeinen Branchentrends, bei denen Angreifer zunehmend legitime RMM-Tools missbrauchen, um sich dauerhaften Zugriff zu verschaffen und dabei herkömmliche Malware-Erkennungssysteme zu umgehen. Da es sich bei PDQConnect um ein legitimes Fernverwaltungstool handelt, umgeht es häufig Sicherheitskontrollen, die auf die Erkennung herkömmlicher Malware-Signaturen ausgerichtet sind. Dieser Ansatz ermöglicht es MCTO3022, langfristig Zugriff auf kompromittierte Systeme aufrechtzuerhalten, was möglicherweise die Exfiltration von Daten, laterale Bewegungen und den Einsatz weiterer schädlicher Tools ermöglicht.

    Mimecast-Schutz

    Mimecast hat erweiterte Erkennungsfunktionen implementiert, die speziell auf die Taktiken von MCTO3022 ausgerichtet sind, darunter die Analyse von Social-Engineering-Mustern mit Personalwesen-Bezug.

    Ziele

    Verschiedene Branchen, vorwiegend in den USA und Großbritannien

    Indikatoren für eine Kompromittierung (IOCs)

    Gehostete Domains:

    • go[.]pardot[.]com
    • fwtrack[.]dataprivacycrm[.]com
    • fwtrack[.]hrcommcenter[.]com
    • fwtrack[.]crmhrnotice[.]com
    • fwtrack[.]strykler[.]com
    • fwtrack[.]hrevalutions[.]com

    Häufige Muster für Betreffzeilen:

    • WICHTIG: Überarbeitetes Mitarbeiterhandbuch 2024: Erforderliche Maßnahme
    • Erinnerung: Jährliche Anmeldephase für Sozialleistungen!
    • Richtlinie zum Datenschutz und zur Vertraulichkeit von Mitarbeiterdaten: Obligatorische Bestätigung
    • Anfrage der Personalabteilung: Unterschrift erforderlich für die Richtlinie zum Verhaltenskodex des Unternehmens
    • Verpflichtender Schulungsplan für alle AP-Mitarbeiter
    • WICHTIG: Mitarbeiterhandbuch – Überarbeitet am 30.07.

    Sofortmaßnahmen:

    • Klären Sie die Nutzer über raffinierte Betrugsmaschen im Zusammenhang mit der Personalabteilung auf und betonen Sie dabei, dass legitime Mitteilungen der Personalabteilung in der Regel kein sofortiges Anklicken externer Links oder Herunterladen von Software erfordern
    • Führen Sie Phishing-Simulationen durch, die Szenarien aus dem Mitarbeiterhandbuch und zur Gehaltsabrechnung unter Einbeziehung dringender Nachrichten und Aufforderungen zur Installation von RMM-Tools umfassen
    • Schulen Sie die Mitarbeiter darin, ungewöhnliche Mitteilungen der Personalabteilung durch direkten Kontakt mit den Personalabteilungen unter Verwendung der offiziellen Kontaktwege zu überprüfen
    • Weisen Sie nachdrücklich darauf hin, wie wichtig es ist, verdächtige Nachrichten zu Stellenangeboten zu melden, in denen detaillierte persönliche Angaben oder die Installation von Software verlangt werden

    Threat Hunting:

    Keep your edge in threat intelligence

    Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.

    Sign up successful

    Thank you for signing up to receive updates for our threat intelligence notifications.

    We will be in touch!

    Zurück zum Anfang