セキュリティ研究者は最近、トラックおよび物流業界を標的とするサイバー犯罪者の活動を直接観察するために1ヶ月を費やしました。
サイバーセキュリティ企業Proofpointの研究者は、脅威アクターが運送業の企業にアクセスして貨物を盗み支払いを流用する方法について以前に説明していました。ただし、彼らの新しい研究は、彼らがドアを開けた後に正確に何が起こるのかという質問に答えることを目指していました。
この研究は、サイバー技術を使用した貨物盗難の増加する脅威とその組織犯罪へのつながりに光を当てています。フリート管理企業Geotabによると、北米での貨物盗難による損失は主にデジタル攻撃に起因し、2025年に66億ドルに上昇しました。
「それは単なる1人の行為者または1つの国を超えた大きな問題です」と、Proofpointの研究者の1人であるOle Villadsenは述べました。
制御されたデコイ環境を使用して、彼のチームは、サイバー犯罪者が負荷ボードプラットフォーム(運送ブローカーと出荷業者が貨物の移動を手配するために接続するマーケットプレース)を侵害した後、輸送キャリアに電子メールで送信された悪意のあるペイロードを意図的にダウンロードしました。
アクセスを取得した後、サイバー犯罪者は、4つのScreenConnectインスタンスを含む6つの別々のリモートアクセスツールをインストールしました。研究者は、これはそれらのいずれかが削除された場合に遠隔制御を維持するための試みだと考えています。
最後にダウンロードされたScreenConnectツールは驚きをもたらしました。外部の証明書署名サービスを自動的に照会するスクリプトを使用していました。これにより、インストールされたすべてのコンポーネントが、Windowsが信頼できると認識する証明書で署名することができました。
「これは私たちが遭遇するのに幸運だった新しい能力でした」と、Proofpointの研究者の1人であるOle Villadsenは述べました。彼は、「signing-as-a-service」ツールは、ScreenConnectによる最近のセキュリティ努力への適応であると信じています。既存の証明書を取り消し、ソフトウェアの新しいインスタンスがインストーラーに署名することを要求しており、「RMM [リモートモニタリングおよび管理] エコシステム全体を大幅に破壊した」ものです。
「ですから、誰もが独自の証明書を作成しようとするのではなく、この種の秘密の小さなsigning-as-a-serviceプロセスを持つことができます」と彼は述べました。「MSI [Microsoftインストーラー] が署名されただけでなく、すべてのコンポーネントファイルを置き換えて、それらに再署名することもできました。全体はかなりよく考え抜かれていました。」
Villadsenにとってもう1つ目立ったことは、ハッカーが貨物を盗むために働くだけでなく、「より広い経済的ターゲット設定と窃盗」を実行しているようだった方法でした。
彼らは暗号通貨ウォレットをスキャンし、PayPal認証情報を手動で確認しました。感染したデバイス上のPowerShellスクリプトは、金融機関、送金サービス、およびオンライン会計プラットフォームへのアクセスポイントをスキャンしました。また、負荷管理および運送仲介プラットフォーム、ならびに燃料カードプロバイダーも検索しました。
「彼らは確かに運輸業界を本当に本当によく知っており、その特定の分野をターゲット化する方法を知っています」と彼は述べました。「しかし、彼らはまたサイバー犯罪者でもあり、彼らが着地したワークステーションを現金化できるあらゆる方法を探しています。」
この脅威グループはペイロードを配信するために負荷ボードに浸透するのに最も多くの1つですが、それは脆弱な空間を利用している多くの1つです。Villadsenは、彼と彼のチームが北米およびヨーロッパのセクターをターゲットとする約12の異なるグループを追跡していると述べています。
キャリアの大多数がトラック10台未満の小企業であるため、堅牢なサイバーセキュリティ防御がない場合があります。負荷ボードを通じてそれらをターゲット化することにより、ハッカーは一度に数十または数百のキャリアに浸透できます。
「それは残念ながらサイバー侵入にそれ自体をよく提示し、盗難を本当によくエスカレートまたはスケーリングできる業界です」と彼は述べました。
翻訳元: https://therecord.media/cargo-thieving-hackers-running-sophisticated-campaigns
