Οι φορείς απειλών στοχεύουν μεσίτες και μεταφορείς φορτηγών με κακόβουλους συνδέσμους και μηνύματα ηλεκτρονικού ταχυδρομείου για να αναπτύξουν εργαλεία απομακρυσμένης παρακολούθησης και διαχείρισης (RMM) που τους επιτρέπουν να κλέβουν φορτίο και να κλέβουν φυσικά αγαθά.
Οι ερευνητές παρακολούθησαν τη δραστηριότητα έως τον Ιούνιο, αλλά βρήκαν στοιχεία για αυτούς τους τύπους καμπανιών που παρέχουν NetSupport και ScreenConnect από τον Ιανουάριο.
Σύμφωνα με την εταιρεία ασφάλειας email Proofpoint, αυτές οι επιθέσεις γίνονται όλο και πιο δημοφιλείς, με σχεδόν 20 εκστρατείες να έχουν καταγραφεί από τον Αύγουστο, καθεμία από τις οποίες στέλνει έως και χίλια μηνύματα.
Οι στόχοι είναι κυρίως οντότητες της Βόρειας Αμερικής. Ωστόσο, η Proofpoint έχει επίσης παρατηρήσει παρόμοια δραστηριότητα στη Βραζιλία, το Μεξικό, την Ινδία, τη Γερμανία, τη Χιλή και τη Νότια Αφρική.
Ψηφιοποιημένη κλοπή φορτίου
Η κλοπή φορτίου περιλαμβάνει την κλοπή εμπορικών αποστολών με αεροπειρατεία φορτηγών ή ρυμουλκούμενων κατά τη διαμετακόμιση, με εκ νέου δρομολόγηση τους ή πλαστοπροσωπία νόμιμων μεταφορέων. Στη συνέχεια, τα εμπορεύματα ανακατευθύνονται σε δόλια σημεία παραλαβής.
Το National Insurance Crime Bureau (NICB) υπολογίζει τις απώλειες από κλοπές φορτίου στις ΗΠΑ σε 35 δισεκατομμύρια δολάρια ετησίως.
Σήμερα, οι εγκληματίες του κυβερνοχώρου επικεντρώνονται στην εκμετάλλευση των κενών στο ψηφιακό τμήμα της εφοδιαστικής αλυσίδας που βοηθά τις εταιρείες να μετακινούν τα αγαθά πιο αποτελεσματικά.
Ο πρωταρχικός στόχος του εισβολέα είναι να εγκαταστήσει RMM όπως ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able και LogMeIn Resolve στα συστήματα των εταιρειών-στόχων, τα οποία τους παρέχουν πλήρη απομακρυσμένο έλεγχο, αναγνώριση και δυνατότητες συλλογής διαπιστευτηρίων.
Για να επιτύχουν αυτόν τον στόχο, χρησιμοποιούν παραβιασμένους λογαριασμούς για πίνακες φόρτωσης για να δημοσιεύουν δόλιες καταχωρίσεις φορτίων ή να παραβιάζουν λογαριασμούς email μεσίτη και διεκπεραιωτή και, στη συνέχεια, παραβιάζουν νήματα ηλεκτρονικού ταχυδρομείου για να οδηγήσουν τα θύματα σε μια κακόβουλη διεύθυνση URL.
.jpg)
Πηγή: Proofpoint
Σύμφωνα με τους ερευνητές, ο παράγοντας απειλής επιτυγχάνει τον στόχο τους στέλνοντας email απευθείας σε μεταφορείς που βασίζονται σε περιουσιακά στοιχεία, εταιρείες μεσιτείας φορτίων και παρόχους ολοκληρωμένης αλυσίδας εφοδιασμού, αλλά αυτό συνέβη κυρίως για μεγαλύτερες οντότητες.
Πηγή: Proofpoint
Σε αυτό το στάδιο, η κοινωνική μηχανική παίζει βασικό ρόλο, όπου οι εισβολείς προσαρμόζουν τα μηνύματά τους για επείγουσες διαπραγματεύσεις φόρτωσης και εκμεταλλεύονται την εμπιστοσύνη στα πακέτα φόρτωσης, δείχνοντας γνώση του πώς λειτουργεί η βιομηχανία εμπορευμάτων.
Οι εξωτερικές σελίδες είναι καλοσχεδιασμένες και φαίνονται νόμιμες τοποθετώντας μια πειστική επωνυμία παρόχου και οδηγούν στη λήψη εκτελέσιμων αρχείων ή αρχείων εγκατάστασης MSI που εγκαθιστούν ένα εργαλείο RMM.
Μέσω αυτών των εργαλείων, τα οποία είναι νόμιμο λογισμικό, ο εισβολέας μπορεί να ελέγξει το παραβιασμένο μηχάνημα και να τροποποιήσει τις κρατήσεις, να αποκλείσει τις ειδοποιήσεις αποστολέα, να προσθέσει τις δικές του συσκευές στις επεκτάσεις τηλεφώνου του διεκπεραιωτή και να κάνει κράτηση με την ταυτότητα του παραβιασμένου μεταφορέα.
“Αυτά τα RMM χρησιμοποιούνται συχνά σε συνδυασμό, για παράδειγμα, το PDQ Connect έχει παρατηρηθεί κατά τη λήψη και εγκατάσταση τόσο του ScreenConnect όσο και του SimpleHelp,” Proofpoint εξηγεί.
«Μόλις δημιουργηθεί η αρχική πρόσβαση, ο παράγοντας απειλής διεξάγει αναγνώριση συστήματος και δικτύου και αναπτύσσει εργαλεία συλλογής διαπιστευτηρίων όπως το WebBrowserPassView», λένε οι ερευνητές.
Η αναγνώριση και η συλλογή διαπιστευτηρίων υποδεικνύουν έναν ευρύτερο σκοπό επίθεσης που περιλαμβάνει τη βαθύτερη περιστροφή στα παραβιασμένα περιβάλλοντα.
Πηγή: Proofpoint
Η Proofpoint σημειώνει ότι οι επιθέσεις υποδηλώνουν γνώση των διαδρομών, του χρονισμού και των τύπων φορτίου υψηλής αξίας, επιτρέποντας στους εγκληματίες του κυβερνοχώρου να επιλέξουν τις πιο κερδοφόρες αποστολές για κλοπή.
Οι ερευνητές πιστεύουν ότι οι χάκερ «συνεργάζονται με ομάδες οργανωμένου εγκλήματος για να υπονομεύσουν οντότητες στον κλάδο των επιφανειακών μεταφορών» και να κλέψουν εμπορευματικά φορτία.
Μία εταιρεία κινητής τηλεφωνίας που στοχεύει σε τέτοιες επιθέσεις εξηγεί ότι οι χάκερ ξεγέλασαν τον διεκπεραιωτή τους για να εγκαταστήσει ένα εργαλείο RMM και ανέλαβαν τον έλεγχο του λογαριασμού τους.
Ο εισβολέας “διέγραψε κάθε email κράτησης και απέκλεισε τις ειδοποιήσεις” και πρόσθεσε τη συσκευή του στην επέκταση τηλεφώνου του διεκπεραιωτή. Αυτό τους επέτρεψε να υποδυθούν την εταιρεία-θύμα και να μιλήσουν απευθείας με μεσίτες.
“Κατά την κράτηση φορτίων, χρησιμοποίησε το επίσημο email + τηλέφωνό μας MC (αναφέρεται στο FMCSA)”, εκπρόσωπος του θύματος λέει ο μεταφορέαςπροσθέτοντας ότι “Brosers, Highway, MyCarrierPackets θα καλούσαν τον αριθμό και το email μας — ο χάκερ απάντησε, επαλήθευσε τα πάντα και πήρε τα φορτία.”
Το κλεμμένο φορτίο, το οποίο περιλαμβάνει εμπορεύματα όπως τρόφιμα, ποτά και ηλεκτρονικά είδη, παρεμποδίζεται ή επαναδρομολογείται και αργότερα πωλείται διαδικτυακά ή αποστέλλεται στο εξωτερικό.
Ενώ η Proofpoint παρατήρησε ότι χρησιμοποιούνται εργαλεία RMM στις επιθέσεις, η εταιρεία σημειώνει ότι κλέφτες πληροφοριών όπως NetSupport, DanaBot, Lumma Stealer και StealC είχαν επίσης αναπτυχθεί σε σχετικές δραστηριότητες, αν και δεν ήταν δυνατή η απόδοση σε συγκεκριμένα clusters.
Οι προτεινόμενες άμυνες περιλαμβάνουν τον περιορισμό της εγκατάστασης μη εγκεκριμένων εργαλείων RMM, την παρακολούθηση της δραστηριότητας του δικτύου και τον αποκλεισμό των συνημμένων αρχείων .EXE και .MSI σε επίπεδο πύλης email.
Είτε καθαρίζετε παλιά κλειδιά είτε τοποθετείτε προστατευτικά κιγκλιδώματα για κώδικα που δημιουργείται από AI, αυτός ο οδηγός βοηθά την ομάδα σας να χτίζει με ασφάλεια από την αρχή.
Πάρτε το φύλλο εξαπάτησης και αφαιρέστε τις εικασίες από τη διαχείριση μυστικών.
VIA: bleepingcomputer.com
