针对美国和欧洲货运物流组织的钓鱼活动瞄准“Diesel Vortex”
针对美国和欧洲货运物流组织的钓鱼活动瞄准“Diesel Vortex”作者:James Bentley
来源:BleepingComputer
引用:https://www.bleepingcomputer.com/news/security/phishing-campaign-targets-freight-and-logistics-orgs-in-the-us-europe/
一个名为“Diesel Vortex”的具有经济动机的威胁集团正在通过52个域名对美国和欧洲的货运和物流运营商进行钓鱼攻击,窃取其凭证。自2025年9月起,该威胁行为者已从货运行业的关键平台和服务提供商那里窃取了1,649个独特的凭证。
Diesel Vortex的受害者包括DAT Truckstop、TIMOCOM、Teleroute、Penske Logistics、Girteka和Electronic Funds Source(EFS)。 typo squatting 监控平台Have I Been Squatted的研究人员在发现一个包含名为Global Profit的钓鱼项目SQL数据库的暴露存储库后,揭露了此次活动。该存储库还包含一个包含Telegram webhook日志的文件,揭示了钓鱼服务运营商之间的通信。根据使用的语言,研究人员认为Diesel Vortex是一个说亚美尼亚语的演员,与俄罗斯基础设施有关。
Have I Been Squatted的分析工作得到了tokenization基础设施提供商Ctrl-Alt-Intel的支持,后者利用开源情报将操作者、基础设施和与各种公司的联系联系起来。在一份详细的技术报告中,typosquatting保护提供商表示,他们发现了近3,500个被盗凭证对,其中1,649个是唯一的。
研究人员表示,他们还发现了一个由该组成员创建的思维导图,描述了一个“高度组织化的操作”,包括呼叫中心、邮件支持、程序员角色,以及负责寻找司机、承运人和物流联系人的员工。此外,该图提供了关于获取渠道的详细信息,包括DAT One市场、电子邮件活动、费率确认欺诈以及不同操作层的收入。
“Diesel Vortex小组为货运经纪人、卡车公司和供应链运营商每天使用的平台建立了专门的钓鱼基础设施。承运板、车队管理门户、燃料卡系统和货运交易所都在范围内,”Have I Been Squatted的研究人员表示。
“这些平台位于高交易量和高风险的交汇处,而目标工作人群通常不是企业安全计划的主要焦点,运营商显然也知道这一点。”
攻击涉及通过钓鱼套件的邮件发送钓鱼邮件给目标,使用Zoho SMTP和Zeptomail,并在发件人和主题字段中结合使用西里尔文同形文字技巧来规避安全过滤器。在攻击中,还使用了语音钓鱼和渗透到卡车和物流人员常去的Telegram频道。
当受害者点击钓鱼链接时,他们会在一个“com”域名的最小HTML页面上看到全屏iframe,加载钓鱼内容,然后在对系统域(.top/.icu)进行9阶段的伪装过程。
钓鱼页面是目标物流平台的像素级克隆。根据目标,它们可以捕获凭证、许可数据、MC/DOT号码、RMIS登录详情、PIN、双因素认证代码、安全令牌、支付金额、收款人姓名和支票号码。
研究人员表示,Diesel Vortex操作,包括面板和钓鱼域名以及GitLab存储库,在GitLab、Cloudflare、Google Threat Intelligence、CrowdStrike和Microsoft Threat Intelligence Center的协调行动后被破坏。Ctrl-Alt-Intel从操作者的亚美尼亚语Telegram聊天中开始了OSINT调查,这些聊天是关于窃取货物或资金的,以及一个电子邮件地址。研究人员还发现,钓鱼面板源代码中发现的域名与俄罗斯从事批发贸易、运输和仓储的个人和公司有关。研究人员指出,“用于注册钓鱼基础设施的同一电子邮件地址出现在[俄罗斯]物流公司的企业文件中,这些公司运营的垂直领域与Diesel Vortex的目标相同。”
根据发现的证据,研究人员确定Diesel Vortex不仅窃取了凭证,还协调了与货运仿冒、邮箱破坏和双重经纪或货运转货有关的活动。双重经纪是指使用被盗的承运人身份预订货物,然后重新分配或转移货运货物,这允许将货物发送到欺诈性取货点以便被盗。
完整的损害指标(IoC),包括网络、Telegram、基础设施、电子邮件和加密货币地址,可在Have I Been Squatted报告的底部找到。
页:
[1]