Peretas menggunakan alat RMM untuk membobol kapal barang dan mencuri kiriman kargo

Pelaku ancaman menargetkan broker pengangkutan dan pengangkut truk dengan tautan dan email berbahaya untuk menerapkan alat pemantauan dan manajemen jarak jauh (RMM) yang memungkinkan mereka membajak kargo dan mencuri barang fisik.

Para peneliti melacak aktivitas tersebut hingga bulan Juni, namun mereka menemukan bukti bahwa jenis kampanye ini menghasilkan NetSupport dan ScreenConnect sejak bulan Januari.

Menurut perusahaan keamanan email Proofpoint, serangan ini menjadi lebih populer, dengan hampir dua lusin kampanye tercatat sejak bulan Agustus, masing-masing mengirimkan hingga seribu pesan.

Sasaran utamanya adalah entitas Amerika Utara; namun, Proofpoint juga mengamati aktivitas serupa di Brasil, Meksiko, India, Jerman, Chili, dan Afrika Selatan.

Pencurian kargo digital

Pencurian kargo melibatkan pencurian kiriman komersial dengan membajak truk atau trailer yang sedang transit, dengan mengubah rutenya, atau dengan menyamar sebagai operator yang sah. Barang kemudian dialihkan ke titik penjemputan palsu.

Biro Kejahatan Asuransi Nasional (NICB) memperkirakan kerugian pencurian kargo di AS mencapai $35 miliar per tahun.

Saat ini, penjahat dunia maya fokus mengeksploitasi kesenjangan di segmen digital rantai pasokan yang membantu perusahaan memindahkan barang dengan lebih efisien.

Tujuan utama penyerang adalah memasang RMM seperti ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able, dan LogMeIn Resolve pada sistem perusahaan target, yang memberi mereka kendali jarak jauh, pengintaian, dan kemampuan pengumpulan kredensial penuh.

Untuk mencapai tujuan ini, mereka menggunakan akun yang telah disusupi untuk memuat papan guna memposting daftar barang palsu, atau melanggar akun email broker dan pengirim, lalu membajak rangkaian email untuk mengarahkan korban ke URL berbahaya.

Menurut para peneliti, pelaku ancaman mencapai tujuannya dengan mengirimkan email langsung ke operator berbasis aset, perusahaan pialang pengangkutan, dan penyedia rantai pasokan terintegrasi, namun hal ini sebagian besar terjadi pada entitas yang lebih besar.

Pada tahap ini, rekayasa sosial memainkan peran kunci, di mana penyerang menyesuaikan pesan mereka untuk negosiasi muatan yang mendesak dan mengeksploitasi kepercayaan pada paket muatan, sehingga menunjukkan pengetahuan tentang bagaimana industri pengangkutan beroperasi.

Halaman eksternal dibuat dengan baik dan tampak sah dengan menempatkan merek operator yang meyakinkan, dan mengarah pada pengunduhan file MSI yang dapat dieksekusi atau penginstal yang menginstal alat RMM.

Melalui alat-alat ini, yang merupakan perangkat lunak yang sah, penyerang dapat mengontrol mesin yang disusupi dan dapat mengubah pemesanan, memblokir pemberitahuan operator, menambahkan perangkat mereka sendiri ke ekstensi telepon operator, dan memuat banyak buku dengan identitas operator yang disusupi.

“RMM ini sering digunakan secara bersamaan; misalnya, PDQ Connect telah diamati mengunduh dan menginstal ScreenConnect dan SimpleHelp,” jelas Proofpoint.

“Setelah akses awal ditetapkan, pelaku ancaman melakukan pengintaian sistem dan jaringan serta menyebarkan alat pengumpulan kredensial seperti WebBrowserPassView,” kata para peneliti.

Pengintaian dan pengambilan kredensial menunjukkan tujuan serangan yang lebih luas yang mencakup berputar lebih dalam di lingkungan yang disusupi.

Proofpoint mencatat bahwa serangan tersebut menunjukkan pengetahuan orang dalam tentang rute, waktu, dan jenis kargo bernilai tinggi, sehingga memungkinkan penjahat dunia maya memilih pengiriman yang paling menguntungkan untuk dicuri.

Para peneliti percaya bahwa para peretas “bekerja dengan kelompok kejahatan terorganisir untuk menyusupi entitas di industri transportasi permukaan” dan membajak angkutan kargo.

Salah satu perusahaan operator yang menjadi sasaran serangan tersebut menjelaskan bahwa peretas menipu operator mereka untuk memasang alat RMM dan mengambil kendali atas akun mereka.

Penyerang “menghapus setiap email pemesanan dan memblokir notifikasi” dan menambahkan perangkat mereka ke ekstensi telepon petugas operator. Hal ini memungkinkan mereka untuk menyamar sebagai perusahaan korban dan berbicara langsung dengan broker.

“Saat memesan muatan, dia menggunakan email + telepon MC resmi kami (terdaftar di FMCSA),” kata perwakilan dari operator korban, sambil menambahkan bahwa “Broker, Highway, MyCarrierPackets akan menghubungi nomor dan email kami — peretas menjawab, memverifikasi semuanya, dan mendapatkan muatannya.”

Kargo yang dicuri, termasuk komoditas seperti makanan, minuman, dan barang elektronik, dicegat secara fisik atau dialihkan dan kemudian dijual secara online atau dikirim ke luar negeri.

Meskipun Proofpoint telah mengamati alat RMM digunakan dalam serangan tersebut, perusahaan tersebut mencatat bahwa pencuri informasi seperti NetSupport, DanaBot, Lumma Stealer, dan StealC juga dikerahkan dalam aktivitas terkait, meskipun atribusi ke klaster tertentu tidak dimungkinkan.

Pertahanan yang disarankan mencakup membatasi instalasi alat RMM yang tidak disetujui, memantau aktivitas jaringan, dan memblokir lampiran file .EXE dan .MSI di tingkat gateway email.