货运代理遭遇基于RMM的网络攻击,黑客瞄准实体货物窃取
威胁行为者正在针对货运代理、承运商和物流供应商进行定向钓鱼和社会工程活动,通过恶意链接部署远程监控和管理工具。一旦安装,这些工具使攻击者能够完全控制受害者的系统,从而劫持货物运输、冒充承运商并重定向实体货物。
根据Proofpoint的报告,这一活动自2025年1月以来持续进行,自8月起活动急剧增加。已观察到近二十个独立操作——每个操作分发多达一千封电子邮件——主要针对北美物流公司,但在巴西、墨西哥、印度、德国、智利和南非也检测到相关攻击。
数字化货物盗窃
货物盗窃——传统上是对卡车和拖车的物理劫持或重定向——已演变为网络-物理混合犯罪。攻击者利用数字供应链层,使用被入侵的账户和虚假货运清单欺骗承运商,并远程访问调度系统。
一旦安装了ScreenConnect、PDQ Connect、Fleetdeck、N-able、SimpleHelp和LogMeIn Resolve等RMM工具,攻击者可以:
- 远程控制调度系统
- 修改或取消合法预订
- 阻止通知或电子邮件
- 将恶意设备添加到调度员电话分机
- 以受害承运商身份预订和重定向货物
这些操作使攻击者能够拦截或重定向高价值货物(如食品、饮料和电子产品)到欺诈目的地进行转售或出口。
美国国家保险犯罪局估计,美国货物盗窃损失每年超过350亿美元。
攻击链
Proofpoint研究人员描述了一个组织良好的多步骤攻击序列:
- 初始访问 – 威胁行为者使用被入侵的经纪人或调度员电子邮件账户或负载板凭证,向物流公司发送钓鱼电子邮件。
- 社会工程 – 消息高度定制,模仿合法货运谈判并带有紧急请求。
- 有效载荷传递 – 受害者被引诱到承载RMM安装程序的可信虚假网站,通常带有真实承运商标志。
- 执行 – 安装合法的RMM软件,提供远程访问。一些攻击链接多个RMM工具。
- 后利用 – 一旦建立访问,攻击者执行系统侦察,部署凭证收集工具,并深入企业环境。
Proofpoint报告称,NetSupport、DanaBot、Lumma Stealer和StealC也出现在相关活动集群中,表明涉及数据盗窃和物理货物转移的混合活动。
实际影响
一名受害承运商叙述,攻击者诱骗调度员安装RMM工具,获得对系统的完全控制。入侵者:
- 删除预订电子邮件并阻止通知
- 将其设备添加到调度员电话分机
- 使用公司官方FMCSA注册的电子邮件和电话冒充业务
- 接听经纪人的验证电话,劫持多个货物
这种渗透水平表明了对货运工作流程、时间表和货物价值的操作知识——表明这些活动与专门从事物理盗窃的有组织犯罪集团协调。
防御措施
为防御这些混合攻击,Proofpoint和其他专家建议:
- 限制安装未经批准的RMM工具
- 在电子邮件网关上阻止可执行和MSI附件
- 检查并沙箱化指向货运门户或负载包的电子邮件链接
- 监控网络流量中RMM软件的异常出站连接
- 对负载板和调度账户实施严格访问控制——强制执行MFA和唯一凭证
- 教育物流员工关于欺诈性负载列表、紧急谈判骗局和虚假承运商网站
- 定期记录和审计RMM活动以检测未经授权的使用