Proofpoint’e göre en az Haziran 2025’ten beri aktif olduğu düşünülen tehdit grubu, organize suç gruplarıyla iş birliği yaparak yüzey taşımacılığı sektöründeki kuruluşlara sızmayı ve fiziksel malları yağmalamayı hedefliyor. Siber destekli soygunlarda en çok hedef alınan ürünler gıda ve içeceklerdir.
“Çalınan kargolar muhtemelen çevrimiçi satılıyor veya yurt dışına gönderiliyor,” dedi araştırmacılar Ole Villadsen ve Selena Larson The Hacker News ile paylaşılan raporda. “Gözlemlenen kampanyalarda tehdit aktörleri şirketlere sızmayı ve sahte erişimlerini kullanarak gerçek mal sevkiyatlarına teklif vermeyi, nihayetinde bu malları çalmayı amaçlıyor.”
Bu kampanyalar, Eylül 2024’te açıklanan ve Kuzey Amerika’daki taşımacılık ve lojistik şirketlerini Lumma Stealer, StealC veya NetSupport RAT gibi bilgi hırsızları ve uzaktan erişim trojanları (RAT) ile hedef alan önceki saldırılarla benzerlikler taşıyor. Ancak aynı tehdit aktörünün işi olduğuna dair bir kanıt yok.
Proofpoint tarafından tespit edilen mevcut saldırı dalgasında, bilinmeyen saldırganlar ele geçirilmiş e-posta hesaplarını kullanarak mevcut konuşmaları ele geçirme, varlık bazlı taşıyıcıları, nakliye aracılık firmalarını ve entegre tedarik zinciri sağlayıcılarını hedef alan hedefli oltalama e-postaları gönderme ve ele geçirilmiş hesaplarla yük panolarında sahte nakliye ilanları yayınlama gibi çeşitli yöntemler kullandı.
“Saldırgan, ele geçirilmiş hesapları kullanarak yük panolarında sahte nakliye ilanları yayınlıyor ve ardından yüklerle ilgilenen taşıyıcılara kötü amaçlı URL içeren e-postalar gönderiyor,” denildi. “Bu taktik, nakliye müzakerelerinde var olan güven ve aciliyeti istismar ediyor.”
Mesajlarda gömülü kötü amaçlı URL’ler, tuzaklı MSI yükleyicilere veya ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able ve LogMeIn Resolve gibi meşru Uzak Masaüstü Yönetim (RMM) araçlarını dağıtan yürütülebilir dosyalara yönlendiriyor. Bazı durumlarda, bu programlardan birkaçının birlikte kullanıldığı, PDQ Connect’in ScreenConnect ve SimpleHelp’i yüklemek için kullanıldığı görülüyor.
Uzaktan erişim sağlandıktan sonra, saldırganlar sistem ve ağ keşfi yapıyor, ardından ek kimlik bilgilerini ele geçirmek ve kurumsal ağa daha derin sızmak için WebBrowserPassView gibi kimlik bilgisi toplama araçları bırakıyor.
En az bir vakada, tehdit aktörünün erişimi silahlandırarak mevcut rezervasyonları sildiği, dağıtıcı bildirimlerini engellediği, kendi cihazını dağıtıcının telefon uzantısına eklediği, ele geçirilen taşıyıcı adına yük rezervasyonu yaptığı ve nakliyeyi koordine ettiği düşünülüyor.
RMM yazılımlarının kullanımı birkaç avantaj sağlıyor. Birincisi, tehdit aktörlerinin özel kötü amaçlı yazılım geliştirmesine gerek kalmıyor. İkincisi, bu araçların kurumsal ortamlarda yaygın olması nedeniyle radar altında kalmalarını sağlıyor ve genellikle güvenlik çözümleri tarafından kötü amaçlı olarak işaretlenmiyor.
Proofpoint Mart 2025’te belirttiği gibi, “Tehdit aktörlerinin kendi uzaktan izleme araçlarını oluşturup dağıtması oldukça kolaydır ve bu araçlar genellikle meşru yazılımlar olarak kullanıldığı için son kullanıcılar RMM kurulumunda diğer uzaktan erişim trojanlarına göre daha az şüphe duyabilir. Ayrıca, bu tür araçlar antivirüs veya ağ tespitinden kaçabilir çünkü yükleyiciler genellikle imzalanmış, meşru yüklerdir ancak kötü niyetle dağıtılır.”
Bu makaleyi ilginç buldunuz mu? Daha fazla özel içerik okumak için Google News, Twitter ve LinkedIn’de bizi takip edin.