Kötü aktörler, finansal kazanç elde etmek için uzaktan izleme ve yönetim (RMM) yazılımını onlara bulaştırmak ve sonuçta kargo yükünü çalmak amacıyla kamyon taşımacılığı ve lojistik şirketlerine gözlerini giderek daha fazla açıyor.
Proofpoint’e göre en az Haziran 2025’ten bu yana aktif olduğuna inanılan tehdit kümesinin, fiziksel malları yağmalamak amacıyla kara taşımacılığı endüstrisindeki kuruluşlara sızmak için organize suç gruplarıyla işbirliği yaptığı söyleniyor. Siber destekli soygunların en çok hedeflenen ürünleri yiyecek ve içecek ürünleridir.
Araştırmacılar Ole Villadsen ve Selena Larson, The Hacker News ile paylaşılan bir raporda “Çalınan kargo büyük olasılıkla çevrimiçi olarak satılıyor veya yurt dışına gönderiliyor” dedi. “Gözlemlenen kampanyalarda, tehdit aktörleri şirketlere sızmayı ve sahte erişimlerini kullanarak gerçek mal sevkiyatları için teklif vererek sonuçta onları çalmayı amaçlıyor.”
Kampanyalar, Eylül 2024’te açıklanan ve Lumma Stealer, StealC veya NetSupport RAT gibi bilgi hırsızları ve uzaktan erişim truva atları (RAT’lar) ile Kuzey Amerika’daki taşımacılık ve lojistik şirketlerini hedef alan önceki saldırılarla benzerlikler taşıyor. Ancak bunların aynı tehdit aktörünün işi olduğuna dair hiçbir kanıt yok.
Proofpoint tarafından tespit edilen mevcut izinsiz giriş dalgasında, bilinmeyen saldırganlar, mevcut konuşmaları ele geçirmek için ele geçirilmiş e-posta hesapları, hedef tabanlı kimlik avı e-postalarıyla varlık tabanlı taşıyıcıları, nakliye komisyonculuğu firmalarını ve entegre tedarik zinciri sağlayıcılarını hedeflemek ve yük panolarında saldırıya uğramış hesapları kullanarak sahte yük listeleri yayınlamak da dahil olmak üzere birçok yöntemden yararlandı.
“Oyuncu, yük panolarında güvenliği ihlal edilmiş hesapları kullanarak sahte yük listeleri yayınlıyor ve ardından yükler hakkında bilgi isteyen taşıyıcılara kötü amaçlı URL’ler içeren e-postalar gönderiyor” dedi. “Bu taktik, nakliye müzakerelerinin doğasında olan güven ve aciliyetten yararlanıyor.”
Söylemeye gerek yok, mesajların içine yerleştirilmiş kötü amaçlı URL’ler, ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able ve LogMeIn Resolve gibi meşru RMM araçlarını dağıtan bubi tuzaklı MSI yükleyicilerine veya yürütülebilir dosyalara yol açıyor. Seçilmiş örneklerde bu programlardan birkaçı birlikte kullanılır; ScreenConnect ve SimpleHelp’i bırakıp kurmak için PDQ Connect kullanılır.
Uzaktan erişim elde edildikten sonra, saldırganlar sistem ve ağ keşifleri yapmak için harekete geçiyor ve ardından ek kimlik bilgilerini ele geçirmek ve kurumsal ağın derinliklerine inmek için WebBrowserPassView gibi kimlik bilgisi toplama araçlarını bırakıyor.
En az bir vakada, tehdit aktörünün mevcut rezervasyonları silmek ve sevk görevlisi bildirimlerini engellemek için erişimi silahlandırdığına, ardından kendi cihazını sevk görevlisinin telefon dahili hattına eklediğine, yükleri ele geçirilen taşıyıcının adı altında rezerve ettiğine ve taşımayı koordine ettiğine inanılıyor.
RMM yazılımının kullanımı çeşitli avantajlar sunar. Birincisi, tehdit aktörlerinin özel kötü amaçlı yazılım geliştirme ihtiyacını ortadan kaldırır. İkincisi, bu tür araçların kurumsal ortamlarda yaygın olması nedeniyle radarın altından uçmalarına da olanak tanıyor ve genellikle güvenlik çözümleri tarafından kötü amaçlı olarak işaretlenmiyor.
Proofpoint, Mart 2025’te “Tehdit aktörlerinin saldırganların sahip olduğu uzaktan izleme araçlarını oluşturması ve dağıtması oldukça kolaydır ve bunlar genellikle yasal yazılım parçaları olarak kullanıldıklarından, son kullanıcılar RMM’leri yüklemek konusunda diğer uzaktan erişim truva atlarına kıyasla daha az şüphe duyabilir” dedi. “Ayrıca, bu tür araçlar anti-virüs veya ağ tespitinden kaçabilir çünkü yükleyiciler genellikle imzalanır ve meşru yükler kötü niyetli olarak dağıtılır.”