不法分子正将目标日益聚焦于货运与物流公司,试图通过植入远程监控管理(RMM)软件非法牟利,最终实现货物盗窃。
据 安全公司Proofpoint调查,该威胁团伙至少自 2025 年 6 月起开始活跃。他们与有组织犯罪集团合作,入侵陆路运输行业相关机构,核心目标是窃取实体货物。在这类 “网络赋能型盗窃” 中,食品饮料类商品是最主要的被盗对象。
研究人员奥莱・维拉德森与塞莱娜・拉森在一份提交给The Hacker News的报告中表示:“被盗货物很可能通过网络销售或运至海外。在已观测到的攻击活动中,攻击者会先入侵企业,再利用非法获取的权限竞标真实货运订单,最终完成盗窃。”
与历史攻击的关联与差异
此次攻击活动与 2024 年 9 月披露的一系列攻击存在相似性 —— 当时攻击者针对北美运输物流公司,使用 Lumma Stealer、StealC、NetSupport RAT 等信息窃取工具与远程访问木马(RAT)实施入侵。但目前尚无证据表明两类攻击出自同一威胁团伙。
在 Proofpoint 此次监测到的入侵浪潮中,身份不明的攻击者采用了多种攻击手段:
- 劫持已泄露的电子邮件账户,接管现有对话;
- 向资产型承运人、货运经纪公司及综合供应链服务商发送钓鱼邮件;
- 利用被入侵的账户在货运信息平台(load boards)发布虚假货运信息。
报告指出:“攻击者通过被盗账户在货运平台发布虚假订单,再向咨询这些订单的承运人发送含恶意链接的邮件。这种手段利用了货运谈判中固有的信任关系与时效性压力。”
攻击实施流程与工具滥用
毫不意外,邮件中的恶意链接会指向带有陷阱的 MSI 安装程序或可执行文件(EXE),这些文件会部署 ScreenConnect、SimpleHelp、PDQ Connect、Fleetdeck、N-able、LogMeIn Resolve 等合法 RMM 工具。在部分案例中,攻击者会组合使用多款工具,例如通过 PDQ Connect 投放并安装 ScreenConnect 与 SimpleHelp。
一旦获取远程访问权限,攻击者会先开展系统与网络侦察,随后植入 WebBrowserPassView 等凭证窃取工具,获取更多账号密码,进一步渗透企业内网。
在至少一起案例中,攻击者还滥用获取的权限:删除现有货运订单、屏蔽调度员通知;将自己的设备添加到调度员电话分机;以被入侵承运人的名义预订货运订单,并协调运输流程。
RMM 工具被滥用的核心原因
使用 RMM 软件对攻击者而言有多重优势:
- 无需自行开发定制恶意软件,降低技术门槛;
- 这类工具在企业环境中广泛应用,可帮助攻击者 “隐身”,通常不会被安全解决方案标记为恶意程序。
Proofpoint 早在 2025 年 3 月就曾指出:“攻击者创建并传播受控的远程监控工具相当容易。由于这些工具常被用作合法软件,终端用户对安装 RMM 工具的警惕性,往往低于对其他远程访问木马的警惕性。此外,这类工具的安装程序通常带有数字签名,属于合法载荷,因此可能避开杀毒软件或网络检测。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容