A támadók rosszindulatú hivatkozásokkal és e-mailekkel célozzák meg a teher- és áruszállító vállalatokat annak érdekében, hogy RMM (remote monitoring and management) eszközöket telepítsenek a rendszereikre. Ezek az eszközök lehetővé teszik számukra a rakományok útvonalának eltérítését és a szállítmányok ellopását. A Proofpoint e-mail biztonsági vállalat szerint ezek a támadások egyre gyakoribbak. A célpontok elsősorban észak-amerikai szervezetek, de hasonló aktivitást észleltek Brazíliában, Mexikóban, Indiában, Németországban, Chilében és Dél-Afrikában is.
Napjainkban a kiberbűnözők az ellátási lánc digitalizált folyamataiban meglévő sebezhetőségeket kihasználva igyekeznek eltéríteni a szállítmányokat. A támadók elsődleges célja, hogy olyan RMM-szoftvereket telepítsenek a megcélzott vállalatok rendszereire (például ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able, LogMeIn Resolve), amelyek teljeskörű távoli hozzáférést, felderítési lehetőségeket és hitelesítőadat-gyűjtési képességeket biztosítanak számukra. Ennek érdekében a fuvarközvetítő platformokon kompromittált fiókokkal csalárd fuvarlistákat tehetnek közzé, vagy hozzáférést szerezhetnek a diszpécserek e-mailjeihez. Ezt követően pedig eltéríthetik az e-mail-eket és az áldozatokat rosszindulatú URL-ekre irányíthatják (1. ábra).
A kutatók szerint a támadók közvetlenül is küldenek e-maileket fuvarozóknak, árufuvarozó cégeknek és integrált ellátási lánc-szolgáltatóknak, ezt elsősorban nagyobb szervezeteknél figyelték meg (2. ábra).
A támadás során kulcsszerepet játszik a social engineering módszer. A támadók üzeneteiket a sürgős rakományügyekhez igazítják, és hitelesnek tűnő információkkal támasztják alá, hogy ismerik a fuvarozási ágazat működését. A támadók által létrehozott külső weboldalak felépítése professzionális, szolgáltatói márkajelzéssel ellátottak, valamint futtatható fájlokat vagy MSI -ket kínálnak letöltésre, amelyekkel telepítik az RMM eszközöket.
Ezekkel a legitimnek tűnő szoftverekkel a támadók átvehetik az irányítást: módosíthatják a fuvarmegbízásokat, letilthatják a diszpécser-értesítéseket, saját eszközöket adhatnak hozzá a diszpécser telefonkészülékének mellékéhez, illetve a kompromittált szolgáltató nevében adhatnak le fuvarmegbízásokat.
A Proofpoint megfigyelései szerint a támadások bennfentes ismeretekre utalnak az útvonalakról, időzítésekről és magas értékű rakománytípusokról, ami lehetővé teszi a támadók számára, hogy kiválasszák a legjövedelmezőbb célpontokat. A kutatók azt is feltételezik, hogy a hackerek szervezett bűnözői csoportokkal működnek együtt a közúti fuvarozási szektor szereplőinek kompromittálásában és a rakományok eltérítésében.
Bár a Proofpoint az RMM-eszközök használatát azonosította, megjegyzi, hogy információlopó malware-eket is észleltek (például NetSupport, DanaBot, Lumma Stealer, StealC), bár ezek pontos hozzárendelése egyes klaszterekhez nem volt egyértelmű.
Az ajánlott védekezési intézkedések közé tartozik a nem engedélyezett RMM-eszközök telepítésének tiltása, a hálózati tevékenység folyamatos figyelése, valamint az .exe és .msi fájlmellékletek blokkolása levelezési rendszer szintjén.
