Kyberzločinci stále častěji zaměřují své útoky na kamionové dopravce a logistické společnosti s cílem infikovat je softwarem pro vzdálené monitorování a správu (RMM) za účelem finančního zisku a krádeže nákladu.
Podle společnosti Proofpoint je tato hrozba aktivní minimálně od června 2025 a údajně spolupracuje s organizovanými zločineckými skupinami, aby se vloupala do subjektů v odvětví povrchové dopravy s konečným cílem ukrást fyzické zboží. Nejčastěji kradené komodity při těchto kyberneticky umožněných loupeží jsou potraviny a nápoje.
„Ukradený náklad je s největší pravděpodobností prodáván online nebo odesílán do zahraničí,“ uvedli výzkumníci Ole Villadsen a Selena Larson ve zprávě sdílené s The Hacker News. „V pozorovaných kampaních se útočníci snaží infiltrovat společnosti a využít svůj podvodný přístup k nabídkám na skutečné zásilky zboží, aby je nakonec ukradli.“
Metody útoků
V současné vlně narušení detekované společností Proofpoint neznámí útočníci využili několik metod, včetně kompromitovaných e-mailových účtů k únos existujících konverzací, cílení na dopravce vlastnící aktiva, zprostředkovatele nákladní dopravy a integrované poskytovatele dodavatelského řetězce pomocí spear-phishingových e-mailů a zveřejňování podvodných nabídek nákladu pomocí hacknutých účtů na nákladních platformách.
„Útočník zveřejňuje podvodné nabídky nákladu pomocí kompromitovaných účtů na nákladních platformách a poté odesílá e-maily obsahující škodlivé URL dopravcům, kteří se dotazují na náklady,“ uvádí zpráva. „Tato taktika zneužívá důvěru a naléhavost inherentní v jednáních o nákladu.“
Škodlivé URL adresy vložené do zpráv vedou k nastraženým MSI instalátorům nebo spustitelným souborům, které nasazují legitimní nástroje RMM jako ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able a LogMeIn Resolve. V některých případech je několik těchto programů použito společně, přičemž PDQ Connect je používán k instalaci ScreenConnect a SimpleHelp.
Průběh útoku
Jakmile je získán vzdálený přístup, útočníci přistoupí k průzkumu systému a sítě, následovanému nasazením nástrojů pro sběr přihlašovacích údajů, jako je WebBrowserPassView, aby zachytili další přihlašovací údaje a pronikli hlouběji do firemní sítě.
Minimálně v jednom případě se předpokládá, že útočník zneužil přístup k odstranění existujících rezervací a zablokování oznámení dispečera, poté přidal své vlastní zařízení k telefonní lince dispečera, rezervoval náklady pod jménem kompromitovaného dopravce a koordinoval přepravu.
Od srpna 2025 bylo detekováno až dvě desítky kampaní zaměřených na dopravní subjekty s cílem doručit RMM. Tyto snahy jsou hodnoceny jako neselektivní i oportunistické, zaměřující se na malé rodinné podniky až po velké přepravní firmy s cílem infiltrovat jejich sítě a využít interní informace z jiných narušení k identifikaci a nabídkám na náklady, které by byly při krádeži pravděpodobně ziskové.
Výhody použití RMM softwaru
Použití RMM softwaru nabízí několik výhod. Za prvé, eliminuje potřebu útočníků vytvářet vlastní malware. Za druhé jim také umožňuje zůstat pod radarem díky rozšíření takových nástrojů v podnikových prostředích a skutečnosti, že obvykle nejsou bezpečnostními řešeními označovány jako škodlivé.
„Je poměrně snadné pro útočníky vytvořit a distribuovat nástroje pro vzdálené monitorování vlastněné útočníky, a protože jsou často používány jako legitimní software, koncoví uživatelé mohou být méně podezřívaví při instalaci RMM než u jiných trojských koní pro vzdálený přístup,“ poznamenala společnost Proofpoint již v březnu 2025.
Zdroj: thehackernews.com
