TokyoBlackHatNews

gbhackers.com 4分で読了

貨物ハッカーが運送企業を狙い実物の荷物を盗む

ハッカーは運送・運輸企業への侵入を増加させており、実物の貨物を静かに乗っ取り、デジタルアクセスを大規模な実物盗難に変えています。

研究者によると、組織的な犯罪組織がサイバー犯罪者と協力して、キャリアや運送ブローカーが毎日荷物を予約・配送するために使用するシステムを悪用しています。

貨物盗難はすでに数十億ドル規模の問題であり、運送業の急速なデジタル化は、サイバー対応盗難の新しい侵入経路を生み出しています。

高速道路でトラックを追跡する代わりに、攻撃者はユーザーアカウントを危険にさらし、ブローカープラットフォームを操作し、リモートアクセスツールを悪用することで荷物を盗むようになりました。

Proofpointは一連の活動を追跡しており、ハッカーが運送キャリアと運送ブローカーに侵入し、その後アクセスを使用して正当な荷物に入札し、後で盗まれて転売される(多くの場合オンラインまたは海外で)ケースを追跡しています。

報告されたケースでは、犯罪者は食品、飲料、電子機器などの商品を狙っており、これらは移動しやすく、サプライチェーンから離れたら追跡が難しいものです。

攻撃チェーンの仕組み

Proofpointが分析したキャンペーンでは、操作はしばしばフィッシングまたはブローカー「ロードボード」でのアカウント乗っ取りで始まります。これは荷物が投稿され、キャリアが入札するオンラインマーケットプレイスです。

貨物盗難の試みにつながる観察されたキャンペーンの攻撃チェーンは、後続のセクションで説明されますが、以下の通りです。脅威行為者はブローカーロードボードアカウントを危険にさらします。

Image

攻撃者はブローカーまたはキャリアのアカウントを危険にさらし、偽造または操作された荷物を投稿し、正当なキャリアがオファーに応答したときに攻撃チェーンを引き起こします。

そこから、被害者は通常は実行ファイルまたはMSIパッケージのインストーラーファイルへの悪意あるリンクを含む、高度にカスタマイズされたメールを受け取ります。

開くと、これらのファイルはリモート監視・管理(RMM)またはリモートアクセスソフトウェアをインストールします。これは正当なITツールのように見えながら、脅威行為者にシステムの完全な制御を与えます。

そのアクセスにより、攻撃者は偵察を行い、ブラウザから認証情報を収集し、環境内でより深く動き、配送と荷物予約に使用される追加のアカウントを乗っ取ります。

Proofpointはまた、DanaBot、NetSupport、Lumma Stealer、およびStealCを配布している陸上輸送組織を対象とした脅威行為者を追跡しました。これらについては以前に報告しました。

Image

埋め込まれると、犯罪者は盗まれた身元を使用して、信頼できるキャリアの名前の下で実物の荷物に入札し、その後、共犯者による貨物の物理的な受け取りを調整します。

公開レポートは、攻撃者が正当な予約をキャンセルし、ディスパッチャー通知をブロックし、自分のデバイスを電話拡張機能に追加し、盗まれるように荷物を静かにリダイレクトしたケースについて説明しています。

これらのキャンペーンの注目すべき側面は、ScreenConnectなどの商用RMMツール、SimpleHelp、N-able、PDQ Connect、および関連するリモートアクセスソフトウェアの大量使用です。

これらの製品は正当なITサポートで一般的であり、ユーザーにとって疑わしくなく、署名されたインストーラーが悪用される場合、アンチウイルスおよびネットワーク防御をバイパスする可能性が高くなります。

これはより広いサイバー犯罪の傾向に適合しています。脅威行為者は、通常の管理活動に溶け込むため、従来のリモートアクセストロイの代わりに、早期段階のペイロードとしてRMMツールを選択することがますます増えています。

最終目的がデータ盗難、アカウント乗っ取り、または貨物詐欺のいずれであっても、情報窃取とRMMの両方は、最終的には貴重なシステムへの永続的なリモートアクセスを提供するという同じ目的を果たします。

対策

Proofpointが強調した最新のキャンペーンが北米の運送・運輸に焦点を当てていますが、保険会社とリスク専門家は、戦略的でサイバー対応の貨物盗難が世界中で増加しており、米国、ブラジル、メキシコ、インド、ドイツ、チリ、南アフリカを含む市場でホットスポットがあることを警告しています。

Image

業界レポートは、犯罪者が高価値の荷物を選別して標的にし、身元詐欺、フィッシング、リモートアクセスの悪用を計画的な盗難作業に混ぜるにつれて、平均損失額が上昇していることを指摘しています。

業界グループは運送企業に対して、許可されるRMMツールを厳密に管理し、メールから未知のインストーラーをブロックし、リモートアクセストラフィックの監視を改善し、疑わしい荷物オファーと予期しないソフトウェアプロンプトを検出するようにスタッフを訓練することをアドバイスしています。

メール駆動型キャンペーンが既に数十件あり、損失が継続的に増加すると予想されていることから、専門家は運送・物流企業がサイバー対応貨物盗難をITの問題だけでなく、重大な運用リスクとして扱う必要があることを警告しています。

翻訳元: https://gbhackers.com/cargo-hackers-hit-trucking/

ソース: gbhackers.com
#RMM悪用 #アカウント乗っ取り #サイバー犯罪 #フィッシング #マルウェア #リモートアクセス #情報窃取 #貨物盗難 #身元詐欺 #運送業

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚