Slechte actoren richten hun blik steeds meer op vrachtwagen- en logistieke bedrijven met als doel deze te infecteren met software voor monitoring en beheer op afstand (RMM) voor financieel gewin en uiteindelijk vrachtvracht te stelen.
Het dreigingscluster, dat volgens Proofpoint minstens sinds juni 2025 actief zou zijn, zou samenwerken met georganiseerde misdaadgroepen om in te breken in entiteiten in de sector van het oppervlaktevervoer met als einddoel het plunderen van fysieke goederen. De meest gerichte goederen van de cyberovervallen zijn voedsel- en drankproducten.
“De gestolen lading wordt hoogstwaarschijnlijk online verkocht of naar het buitenland verscheept”, zeiden onderzoekers Ole Villadsen en Selena Larson in een rapport gedeeld met The Hacker News. “In de waargenomen campagnes proberen bedreigingsactoren bedrijven te infiltreren en hun frauduleuze toegang te gebruiken om op echte goederenzendingen te bieden om deze uiteindelijk te stelen.”
De campagnes delen overeenkomsten met een eerdere reeks aanvallen die in september 2024 werden onthuld en waarbij transport- en logistieke bedrijven in Noord-Amerika werden getarget met informatiestelers en trojans voor externe toegang (RAT’s) zoals Lumma Stealer, StealC of NetSupport RAT. Er zijn echter geen aanwijzingen dat deze het werk zijn van dezelfde dreigingsactoren.
In de huidige inbraakgolf die door Proofpoint is gedetecteerd, hebben de onbekende aanvallers gebruik gemaakt van meerdere methoden, waaronder gecompromitteerde e-mailaccounts om bestaande gesprekken te kapen, zich te richten op asset-based vervoerders, vrachtmakelaars en geïntegreerde supply chain-aanbieders met spear-phishing-e-mails, en het plaatsen van frauduleuze vrachtlijsten met behulp van gehackte accounts op laadborden.
“De acteur plaatst frauduleuze vrachtlijsten met behulp van gecompromitteerde accounts op laadborden en stuurt vervolgens e-mails met kwaadaardige URL’s naar vervoerders die informeren naar de ladingen”, aldus het rapport. “Deze tactiek maakt misbruik van het vertrouwen en de urgentie die inherent zijn aan vrachtonderhandelingen.”
Het is onnodig om te zeggen dat de kwaadaardige URL’s die in de berichten zijn ingebed, leiden naar MSI-installatieprogramma’s of uitvoerbare bestanden met boobytraps die legitieme RMM-tools gebruiken, zoals ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able en LogMeIn Resolve. In bepaalde gevallen worden verschillende van deze programma’s samen gebruikt, waarbij PDQ Connect wordt gebruikt om ScreenConnect en SimpleHelp te verwijderen en te installeren.
Zodra toegang op afstand is verkregen, gaan de aanvallers over tot het uitvoeren van systeem- en netwerkverkenningen, gevolgd door het laten vallen van tools voor het verzamelen van inloggegevens, zoals WebBrowserPassView, om aanvullende inloggegevens vast te leggen en dieper in het bedrijfsnetwerk te graven.
In ten minste één geval wordt aangenomen dat de bedreigingsacteur de toegang heeft misbruikt om bestaande boekingen te verwijderen en meldingen van de coördinator te blokkeren, en vervolgens zijn eigen apparaat aan het telefoontoestel van de coördinator heeft toegevoegd, ladingen heeft geboekt onder de naam van de gecompromitteerde vervoerder en het transport heeft gecoördineerd.
Het gebruik van RMM-software biedt verschillende voordelen. Ten eerste vermijdt het de noodzaak voor bedreigingsactoren om op maat gemaakte malware te bedenken. Ten tweede stelt het hen ook in staat om onder de radar te blijven, vanwege de prevalentie van dergelijke tools in bedrijfsomgevingen, en worden ze doorgaans niet als kwaadaardig bestempeld door beveiligingsoplossingen.
“Het is vrij eenvoudig voor cybercriminelen om tools voor monitoring op afstand te maken en te verspreiden, die eigendom zijn van aanvallers, en omdat ze vaak worden gebruikt als legitieme stukjes software, zijn eindgebruikers wellicht minder wantrouwend tegenover het installeren van RMM’s dan andere trojans voor externe toegang”, merkte Proofpoint in maart 2025 op. “Bovendien kunnen dergelijke tools antivirus- of netwerkdetectie omzeilen, omdat de installatieprogramma’s vaak ondertekende, legitieme payloads zijn die kwaadwillig worden verspreid.”
