概要:RMMツールを悪用した貨物窃盗の増加
脅威アクターは、貨物運送業者や運送会社を標的とし、悪意のあるリンクやメールを介してリモート監視・管理(RMM)ツールを展開しています。これにより、貨物をハイジャックし、物理的な商品を窃盗しています。この活動は6月から追跡されていますが、NetSupportやScreenConnectを配信する同様のキャンペーンは1月から確認されています。
メールセキュリティ企業Proofpointによると、これらの攻撃は増加傾向にあり、8月以降に約20件のキャンペーンが記録され、それぞれ最大1,000通のメッセージが送信されています。主な標的は北米の企業ですが、ブラジル、メキシコ、インド、ドイツ、チリ、南アフリカでも同様の活動が観測されています。
デジタル化された貨物窃盗の手口
貨物窃盗は、輸送中のトラックやトレーラーをハイジャックしたり、経路を変更したり、正当な運送業者になりすましたりして、商業貨物を盗む行為です。盗まれた商品は、不正な引き取り場所に転送されます。全米保険犯罪局(NICB)は、米国における貨物窃盗による損失を年間350億ドルと推定しています。
今日、サイバー犯罪者は、企業が商品をより効率的に移動させるのに役立つサプライチェーンのデジタル部分のギャップを悪用することに注力しています。攻撃者の主な目的は、ScreenConnect、SimpleHelp、PDQ Connect、Fleetdeck、N-able、LogMeIn ResolveなどのRMMツールを標的企業のシステムにインストールすることです。これにより、完全なリモート制御、偵察、および資格情報収集機能を得ます。
攻撃経路とソーシャルエンジニアリング
この目的を達成するため、攻撃者はロードボードの侵害されたアカウントを使用して不正な貨物リストを投稿したり、ブローカーやディスパッチャーのメールアカウントを侵害し、メールスレッドを乗っ取って被害者を悪意のあるURLに誘導します。
Proofpointの研究者によると、脅威アクターは、資産ベースの運送業者、貨物仲介業者、統合サプライチェーンプロバイダーに直接メールを送信することで目的を達成していますが、これは主に大規模な企業で発生しています。この段階では、ソーシャルエンジニアリングが重要な役割を果たします。攻撃者は、緊急の貨物交渉のためにメッセージを調整し、貨物パケットへの信頼を悪用し、貨物業界の運営方法に関する知識を示します。
外部ページは巧妙に作成されており、説得力のある運送業者のブランディングが施され、RMMツールをインストールする実行可能ファイルまたはインストーラーMSIファイルのダウンロードに誘導します。これらの正当なソフトウェアであるツールを介して、攻撃者は侵害されたマシンを制御し、予約の変更、ディスパッチャー通知のブロック、ディスパッチャーの電話内線への自身のデバイスの追加、侵害された運送業者の身元での貨物予約を行うことができます。
偵察と資格情報収集
Proofpointは、「これらのRMMはしばしば連携して使用されます。例えば、PDQ ConnectはScreenConnectとSimpleHelpの両方をダウンロードしてインストールすることが観測されています」と説明しています。「初期アクセスが確立されると、脅威アクターはシステムおよびネットワークの偵察を行い、WebBrowserPassViewなどの資格情報収集ツールを展開します」と研究者は述べています。
偵察と資格情報収集は、侵害された環境でさらに深く侵入することを含む、より広範な攻撃目的を示唆しています。Proofpointは、攻撃がルート、タイミング、高価値貨物の種類に関する内部知識を示唆しており、サイバー犯罪者が最も収益性の高い貨物を選択して窃盗していると指摘しています。研究者らは、ハッカーが「組織犯罪グループと協力して、陸上輸送業界の企業を侵害し、貨物輸送をハイジャックしている」と考えています。
被害者の証言と影響
このような攻撃の標的となったある運送会社は、ハッカーがディスパッチャーを騙してRMMツールをインストールさせ、アカウントを乗っ取ったと説明しています。攻撃者は「すべての予約メールを削除し、通知をブロック」し、ディスパッチャーの電話内線に自身のデバイスを追加しました。これにより、彼らは被害者企業になりすまし、ブローカーと直接話すことができました。
被害運送会社の代表者は、「貨物を予約する際、彼は私たちの公式MCメールと電話(FMCSAに記載)を使用しました」と述べ、「ブローカー、Highway、MyCarrierPacketsは私たちの番号に電話し、メールを送りました。ハッカーが応答し、すべてを確認し、貨物を手に入れました」と付け加えています。
盗まれた貨物には、食品、飲料、電子機器などの商品が含まれており、物理的に傍受または経路変更され、後にオンラインで販売されたり、海外に発送されたりします。Proofpointは、RMMツールが攻撃で使用されていることを観測していますが、NetSupport、DanaBot、Lumma Stealer、StealCなどの情報窃盗犯も関連活動で展開されていると指摘しています。ただし、特定のクラスターへの帰属は不可能でした。
推奨される防御策
推奨される防御策には、以下のものが含まれます。
- 未承認のRMMツールのインストールを制限する。
- ネットワーク活動を監視する。
- メールゲートウェイレベルで.EXEおよび.MSIファイル添付をブロックする。