核心发现
- 网络犯罪分子通过复杂的攻击链入侵货运和卡车运输公司,以窃取货物。
- 货物盗窃是涉及数百万美元的犯罪活动,数字化转型导致了利用网络技术实施盗窃的案件增加。
- 威胁行为者入侵这些公司后,利用其权限对货物运输订单进行投标,进而盗窃并转卖货物。
- 威胁行为者通常投递远程监控和管理工具,这与网络犯罪分子在更广泛的威胁环境中将这些工具用作第一阶段载荷的总体趋势相符。
概述
Proofpoint正在追踪一系列针对卡车运输和物流公司的网络犯罪活动集群,攻击者通过感染RMM工具来获取经济利益。根据我们持续的调查以及开源信息,Proofpoint高度确信,这些威胁行为者正在与有组织犯罪集团合作,入侵地面运输行业的实体——特别是卡车承运商和货运经纪人——以劫持货物,导致实物被盗。被盗货物很可能在网上出售或运往海外。此类犯罪会对供应链造成巨大破坏,并使公司损失数百万美元,犯罪分子窃取的物品从能量饮料到电子产品,无所不包。
在观察到的活动中,威胁行为者旨在渗透公司,并利用其欺诈性访问权限对真实的货物运输进行投标,最终窃取货物。本报告中描述的活动与Proofpoint研究人员在2024年9月详细描述的活动相似。然而,我们无法高度确信地评估历史活动和当前活动是由同一团体还是多个团体实施的;因此,Proofpoint未将此活动归因于某个已知的威胁行为者。
旧犯罪,新工具:货物盗窃的数字化转型
根据美国国家保险犯罪局的数据,货物盗窃每年导致340亿美元的损失。货物盗窃可以指货物在运输过程中导致商业货物被盗的多种活动类型。据美国执法部门称,此类活动多由有组织犯罪集团实施,并且随着自COVID-19大流行以来有组织零售盗窃的激增,国会已引入相关立法进行打击。Proofpoint此前曾发布过针对类似类型网络犯罪的细节,这些犯罪冒充各种公司以窃取医疗和电子设备。
虽然Proofpoint在本报告中讨论的活动涉及北美货物盗窃,但这是一个全球性问题。根据慕尼黑再保险公司的数据,全球货物盗窃热点地区包括巴西、墨西哥、印度、美国、德国、智利和南非,而最常被盗的商品是食品和饮料。
网络技术助长的盗窃是最常见的货物盗窃形式之一,它依赖于社会工程学以及对卡车运输和交通行业运作方式的了解。根据IMC物流公司的说法,网络技术助长盗窃的机会部分是近年来货物盗窃急剧增加的原因:"……国内和国际供应链的数字化创造了新的漏洞,从而为[有组织盗窃集团]利用日益复杂的网络能力来利用这些漏洞创造了机会。这些团伙可以通过利用嵌入供应链中以提高货物运输效率的技术来远程窃取货物。"
在观察到的导致货物盗窃企图的活动中,攻击链如下:威胁行为者将入侵经纪人货物负载板账户,发布虚假货物信息,并在承运商回应时启动攻击链。
活动详情
涉嫌货物盗窃的威胁集群至少自2025年6月以来一直活跃,尽管有证据表明该团伙的活动最早可能始于1月。该行为者已投递了一系列RMM工具,包括ScreenConnect、SimpleHelp、PDQ Connect、Fleetdeck、N-able和LogMeIn Resolve。这些RMM/RAS通常被同时使用;例如,观察到PDQ Connect下载并安装了ScreenConnect和SimpleHelp。一旦获得初始访问权限,威胁行为者会进行系统和网络侦察,并部署诸如WebBrowserPassView等凭证窃取工具。这一活动表明他们正在为入侵账户和加深在目标环境中的访问权限而进行更广泛的努力。
研究人员已识别出可追溯到2025年1月、投递NetSupport和ScreenConnect的相关网络基础设施和类似战术、技术与程序,表明其运营时间线更长。此外,从2024年到2025年3月,Proofpoint还追踪到一个针对地面运输组织的威胁行为者,其分发DanaBot、NetSupport、Lumma Stealer和StealC。这些活动集群可能有关联,但我们无法高度确信地归因。所有集群似乎都了解货物供应链运作相关的软件、服务和政策。无论最终的有效载荷是什么,窃密程序和RMM都服务于相同的目的:远程访问目标以窃取信息。然而,使用RMM工具可以使威胁行为者更好地隐藏其活动。威胁行为者可以创建和分发攻击者拥有的远程监控工具,并且由于这些工具通常被视为合法软件,终端用户可能对安装RMM的警惕性低于其他远程访问木马。此外,由于安装程序通常是经过签名的合法载荷被恶意分发,此类工具可能逃避防病毒或网络检测。货物盗窃行为者使用RMM工具与网络犯罪领域的整体转变相一致,即威胁行为者越来越多地采用RMM作为第一阶段载荷。
仅在过去的两个月里,Proofpoint已经观察到近二十多个活动,每个活动的邮件量从不到10封到超过1000封不等。
该威胁集群采用了三种战术来投递RMM工具:
- 入侵货物负载板:攻击者使用被盗账户在货物负载板上发布欺诈性的货物信息,然后向询问货物的承运商发送包含恶意URL的电子邮件。这种战术利用了货运协商中固有的信任和紧迫感。
- 电子邮件线程劫持:使用被盗的电子邮件账户,威胁行为者将恶意内容和URL注入到现有的对话中。
- 通过电子邮件活动直接定向攻击:该集群已针对大型实体发起直接的电子邮件活动,包括资产型承运商、货运经纪公司和综合供应链供应商。获取对这些实体的访问权限可能使攻击者能够识别高价值货运,或发现其他机会以实现其目标——例如在货物负载板上发布欺诈性货物信息。
通常,电子邮件中包含指向可执行文件或MSI文件的URL。点击后,这些文件会安装RMM工具,从而授予威胁行为者对受感染机器的完全控制权。在某些情况下,威胁行为者会创建模仿合法品牌或通用运输术语的域名和登录页面,以增强社会工程学的可信度。
根据Proofpoint观察到的活动,威胁行为者似乎不针对特定公司,目标范围从上述的小型家族企业到大型运输公司不等。威胁行为者似乎对目标承运商持机会主义态度,可能会试图入侵任何回应虚假货物发布的承运商。一旦威胁行为者入侵了承运商,他们可能会利用其行业知识以及从其他入侵中获得的内部信息,来识别并投标那些如果被盗可能带来利润的货物。
在调查该威胁集群的目标时,Proofpoint研究人员在社交媒体网站上发现了多个公开讨论,这些讨论与我们观察到的该行为者的网络钓鱼和账户入侵活动完全吻合。一个公开的Reddit帖子分享了一次经历,攻击者通过投递RMM入侵了该公司,删除了现有预订并屏蔽了调度员通知,将自己的设备添加到调度员的电话分机,以被盗承运商的名义预订货物,并协调运输。根据该帖子,最初的入侵是一个"nextgen.Carrierbrokeragreement类型的链接",这显著地与Proofpoint研究人员在7月观察到的该集群的一个有效载荷URL相符,该URL可能用于分发ScreenConnect。
最佳实践
在地面运输行业或其他面临货物盗窃风险的行业中运营的组织,可以参考美国国家汽车货运交通协会的货物犯罪减少框架。
为了防范RMM滥用,Proofpoint建议如下:
- 限制下载和安装任何未经组织信息技术管理员批准和确认的RMM工具。
- 建立网络检测机制——包括使用Emerging Threats规则集——并使用端点保护。这可以警报任何与RMM服务器的网络活动。
- 不要下载和安装通过电子邮件从外部发件人传送的可执行文件或MSI文件。
- 培训用户识别此类活动,并将可疑活动报告给其安全团队。此类培训可以轻松集成到现有的用户培训计划中。
结论
根据NICB的数据,2024年货物盗窃损失增加了27%,预计2025年将再增加22%。货物盗窃是一个利润丰厚的犯罪活动,根据Proofpoint的数据,网络犯罪分子越来越多地针对地面运输实体以窃取真实的实物商品。Proofpoint自2025年8月以来已观察到近二十多个针对此类实体以投递RMM的活动。关于网络技术助长货物盗窃的公开讨论和报道表明,该问题广泛存在,影响了全国范围内的组织,并且范围和传播程度都在增加。根据2024年至2025年间电子邮件威胁数据中此类活动的增长,Proofpoint评估这一威胁将持续增加。组织应了解货物盗窃犯罪分子使用的网络技术战术和载荷,并实施网络安全措施以防止被成功利用。
Proofpoint感谢我们在ConnectWise ScreenConnect、Red Canary和DFIR Report的同事们在此活动相关信息共享方面的合作。
Emerging Threats签名示例
- 2837962 – ScreenConnect - 建立连接尝试
- 2050021 – 观察到对已知ScreenConnect/ConnectWise远程桌面服务域的DNS查询
- 2054938 – PDQ远程管理代理签到
- 2065069 – 在DNS查询中观察到RMM域
- 2065076 – 在DNS查询中观察到RMM域
- 2049863 – simplehelp远程访问软件活动
- 2047669 – 在DNS查询中观察到fleetdeck远程管理软件域
- 2061989 – 观察到对RMM域的DNS查询
部分入侵指标
| 指标 | 描述 | 首次发现时间 |
|---|---|---|
carrier-packets[.]net |
载荷暂存域 | 2025年10月 |
claimeprogressive[.]com |
载荷暂存域 | 2025年10月 |
confirmation-rate[.]com |
载荷暂存域 | 2025年10月 |
wjwrateconfirmation[.]com |
载荷暂存域 | 2025年10月 |
rateconfirm[.]net |
载荷暂存域 | 2025年10月 |
ilove-pdf[.]net |
载荷暂存域 | 2025年10月 |
vehicle-release[.]com |
载荷暂存域 | 2025年10月 |
carrierpack[.]net |
载荷暂存域 | 2025年10月 |
car-hauling[.]com |
载荷暂存域 | 2025年10月 |
carrier-packets[.]com |
载荷暂存域 | 2025年10月 |
i-lovepdf[.]net |
载荷暂存域 | 2025年9月 |
fleetcarrier[.]net |
载荷暂存域 | 2025年9月 |
scarrierpack[.]com |
载荷暂存域 | 2025年9月 |
carrieragreements[.]com |
载荷暂存域 | 2025年9月 |
brokeragepacket[.]com |
载荷暂存域 | 2025年9月 |
brokerpackets[.]com |
载荷暂存域 | 2025年9月 |
centraldispach[.]net |
载荷暂存域 | 2025年9月 |
carriersetup[.]net |
载荷暂存域 | 2025年9月 |
brokercarriersetup[.]com |
载荷暂存域 | 2025年9月 |
carrierpacket[.]online |
载荷暂存域 | 2025年9月 |
billpay-info[.]com |
载荷暂存域 | 2025年8月 |
nextgen223[.]com |
载荷暂存域 | 2025年8月 |
fleetgo0[.]com |
载荷暂存域 | 2025年7月 |
nextgen1[.]net |
载荷暂存域 | 2025年7月 |
nextgen01[.]net |
载荷暂存域 | 2025年6月 |
ratecnf[.]com |
载荷暂存域 | 2025年6月 |
ratecnf[.]net |
载荷暂存域 | 2025年6月 |
dwssa[.]top |
ScreenConnect C2 | 2025年6月 |
ggdt35[.]anondns[.]net |
ScreenConnect C2 | 2025年8月 |
qtq2haw[.]anondns[.]net |
ScreenConnect C2 | 2025年9月 |
officews101[.]com |
ScreenConnect C2 | 2025年9月 |
instance-hirb01-relay[.]screenconnect[.]com |
ScreenConnect C2 | 2025年9月 |
185[.]80[.]234[.]36 |
SimpleHelp C2 | 2025年8月 |
147[.]45[.]218[.]66 |
SimpleHelp C2 | 2025年9月 |
70983c62244c235d766cc9ac1641e3fb631744bc68307734631af8d766f25acf |
LogMeIn SHA256 哈希值 | 2025年10月 |
4e6f65d47a4d7a7a03125322e3cddeeb3165dd872daf55cd078ee2204336789c |
N-able SHA256 哈希值 | 2025年10月 |
cf0cee4a57aaf725341d760883d5dfb71bb83d1b3a283b54161403099b8676ec |
ScreenConnect SHA256 哈希值 | 2025年10月 |
913375a20d7250f36af1c8e1322d1541c9582aa81b9e23ecad700fb280ef0d8c |
Fleetdeck SHA256 哈希值 | 2025年9月 |
8a00b3b3fd3a8f6b3ec213ae2ae4efd41dd5738b992560010ab0367fee72cd2a |
SimpleHelp SHA256 哈希值 | 2025年9月 |
559618e2ffbd3b8b849a6ad0d73a5630f87033976c7adccbd80c41c0b2312765 |
PDQ Connect SHA256 哈希值 | 2025年9月 |