Аналитики Proofpoint сообщают о серии целевых кампаний против транспортных компаний и логистических операторов, в результате которых злоумышленники получают контроль над рабочими системами, перенаправляют реальные грузы и монетизируют похищенные товары. По оценкам отрасли, ежегодные потери от краж грузов превышают $30 млрд, а масштабы атаки уже отражаются на устойчивости цепочек поставок.
Вектор атаки: компрометация load boards и социальная инженерия
Первичная точка входа — взлом аккаунтов на брокерских досках грузов (load boards), где публикуются заявки на перевозку. Получив доступ к легитимным учетным данным, злоумышленники размещают фейковые предложения и инициируют контакт с перевозчиками. В ответных письмах они добавляют вредоносные ссылки, маскируя их под рабочие ресурсы и вложения.
Злоупотребление легитимным RMM как средством скрытного доступа
Переход по ссылке приводит к установке легитимных средств удаленного администрирования: Fleetdeck, LogMeIn Resolve, N-able, PDQ Connect, ScreenConnect, SimpleHelp. Такие инструменты (RMM) широко используются в ИТ-поддержке, поэтому их активность часто воспринимается как штатная, что повышает живучесть атак. Как отмечают исследователи, RMM помогает злоумышленникам дольше оставаться незамеченными по сравнению с традиционными вредоносами.
Масштаб и тактика: от фишинга до внедрения в действующие переписки
Кампании носят оппортунистический характер: атакующие нацеливаются на любого перевозчика, откликнувшегося на поддельный запрос. Помимо рассылок, используется внедрение ссылок в уже идущие деловые цепочки—через скомпрометированные почтовые ящики. За последние месяцы зафиксировано почти два десятка подобных операций.
Эскалация доступа и сбор учетных данных
После первичного проникновения противник проводит разведку сети, разворачивает инструменты для извлечения паролей, включая WebBrowserPassView, и расширяет доступ, компрометируя дополнительные аккаунты. Это повышает шансы на контроль критичных узлов — от систем планирования рейсов до диспетчерских панелей.
От ИТ-кражи к физическому хищению: перенаправление реальных грузов
Получив контроль над ИТ-инфраструктурой перевозчика, злоумышленники бронируют перевозки от имени жертвы, координируют логистику и через изменения в системах планирования/диспетчеризации перенаправляют ценные отправления сообщникам. Похищенные товары затем реализуются онлайн либо экспортируются за рубеж.
География и организованная преступность
По данным Proofpoint, кражи грузов — глобальная проблема с наибольшей концентрацией инцидентов в Бразилии, Чили, Германии, Индии, Мексике, ЮАР и США. Исследователи с высокой степенью уверенности связывают кампании с организованными преступными группами, что объясняет знание специфики отраслевых процессов и ИТ-сервисов.
Временная шкала и сопряженная активность
Первая волна атак фиксируется с июня 2025 года, при этом инфраструктура угроз действует как минимум с января текущего года. Отдельный, потенциально связанный кластер был активен с 2024 по март 2025 и ориентировался на наземные перевозки с применением инфостилеров DanaBot, Lumma Stealer, NetSupport, StealC. Независимо от конечного пейлоада цель едина: удаленный доступ и кража данных.
Практические меры защиты для логистики и автоперевозчиков
Укрепление аутентификации: обязателен MFA для load boards, почты и диспетчерских систем; периодическая ротация паролей и запрет повторного их использования.
Политики RMM: белые списки RMM-инструментов, привязка к конкретным администраторам, ограничение по времени и сетям, журналирование с оповещением SOC; блокировка неизвестных RMM в EDR/XDR.
Почтовая безопасность: DMARC/DKIM/SPF, запрет автофорвардинга, детект внедрения ссылок в перехваченные переписки, обучение персонала фишингу, проверка доменных омонимов.
Операционные контрмеры: независимая верификация изменений маршрутов и мест разгрузки по второму каналу связи; аудит прав в системах планирования; сегментация сети и минимум привилегий.
Киберпреступники все чаще конвертируют цифровой доступ в физические кражи, используя легальные RMM и инфостилеры, чтобы скрытно закрепляться в инфраструктуре перевозчиков. Учитывая многомиллиардные убытки и риск перебоев в поставках, логистическим компаниям стоит ускорить внедрение многофакторной аутентификации, жестких политик RMM, мониторинга почтовых угроз и процедур независимой валидации логистических изменений. Это снизит вероятность компрометации load boards и поможет вовремя обнаружить попытки перенаправления грузов.
