Các đối tượng xấu đang ngày càng nhắm mục tiêu vào các công ty vận tải đường bộ và hậu cần nhằm lây nhiễm phần mềm giám sát và quản lý từ xa (RMM) để trục lợi tài chính và cuối cùng là đánh cắp hàng hóa.
Nhóm tội phạm mạng này, được cho là đã hoạt động từ ít nhất tháng 6 năm 2025 theo Proofpoint, được cho là đang hợp tác với các băng nhóm tội phạm có tổ chức để đột nhập vào các doanh nghiệp trong ngành vận tải đường bộ với mục tiêu cuối cùng là cướp đoạt hàng hóa vật chất. Các mặt hàng bị nhắm mục tiêu nhiều nhất trong các vụ cướp được hỗ trợ bởi không gian mạng là các sản phẩm thực phẩm và đồ uống.
"Hàng hóa bị đánh cắp rất có thể được bán trực tuyến hoặc vận chuyển ra nước ngoài," các nhà nghiên cứu Ole Villadsen và Selena Larson cho biết trong một báo cáo được chia sẻ với The Hacker News. "Trong các chiến dịch được quan sát, các threat actor nhằm mục đích xâm nhập vào các công ty và sử dụng quyền truy cập gian lận của họ để đặt giá thầu cho các lô hàng thực tế nhằm đánh cắp chúng."
Các chiến dịch này có những điểm tương đồng với một loạt các cuộc tấn công trước đây được tiết lộ vào tháng 9 năm 2024, liên quan đến việc nhắm mục tiêu vào các công ty vận tải và hậu cần ở Bắc Mỹ bằng các công cụ đánh cắp thông tin (information stealers) và trojan truy cập từ xa (RATs) như Lumma Stealer, StealC hoặc NetSupport RAT. Tuy nhiên, không có bằng chứng nào cho thấy chúng là do cùng một threat actor thực hiện.
Trong làn sóng xâm nhập hiện tại được Proofpoint phát hiện, các kẻ tấn công không rõ danh tính đã sử dụng nhiều phương pháp, bao gồm tài khoản email bị chiếm đoạt để chiếm quyền điều khiển các cuộc trò chuyện hiện có, nhắm mục tiêu vào các nhà vận chuyển dựa trên tài sản, các công ty môi giới vận tải và các nhà cung cấp chuỗi cung ứng tích hợp bằng các email spear-phishing, và đăng các danh sách vận chuyển hàng hóa gian lận bằng cách sử dụng các tài khoản bị hack trên các load boards.
"Kẻ tấn công đăng các danh sách vận chuyển hàng hóa gian lận bằng cách sử dụng các tài khoản bị xâm nhập trên các load boards và sau đó gửi email chứa các URL độc hại cho các nhà vận chuyển hỏi về các lô hàng," báo cáo cho biết. "Chiến thuật này khai thác sự tin cậy và tính cấp bách vốn có trong các cuộc đàm phán vận chuyển."
Không cần phải nói, các URL độc hại được nhúng trong tin nhắn dẫn đến các trình cài đặt MSI hoặc tệp thực thi bị cài bẫy, triển khai các công cụ RMM hợp pháp như ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able và LogMeIn Resolve. Trong một số trường hợp, một số chương trình này được sử dụng cùng nhau, với PDQ Connect được sử dụng để cài đặt ScreenConnect và SimpleHelp.
Sau khi giành được quyền truy cập từ xa, các kẻ tấn công tiến hành trinh sát hệ thống và mạng, sau đó thả các công cụ thu thập thông tin xác thực như WebBrowserPassView để thu thập thêm thông tin đăng nhập và đào sâu hơn vào mạng lưới công ty.
Trong ít nhất một trường hợp, threat actor được cho là đã vũ khí hóa quyền truy cập để xóa các đặt chỗ hiện có và chặn thông báo từ điều phối viên, sau đó thêm thiết bị của riêng họ vào số điện thoại nội bộ của điều phối viên, đặt các lô hàng dưới tên của nhà vận chuyển bị xâm nhập và điều phối việc vận chuyển.
Việc sử dụng phần mềm RMM mang lại một số lợi thế. Thứ nhất, nó loại bỏ nhu cầu các threat actor phải tạo ra phần mềm độc hại tùy chỉnh. Thứ hai, nó cũng cho phép chúng hoạt động mà không bị phát hiện, do sự phổ biến của các công cụ này trong môi trường doanh nghiệp và thường không bị các giải pháp bảo mật gắn cờ là độc hại.
"Thật khá dễ dàng cho các threat actor tạo và phân phối các công cụ giám sát từ xa do kẻ tấn công sở hữu, và bởi vì chúng thường được sử dụng như các phần mềm hợp pháp, người dùng cuối có thể ít nghi ngờ hơn khi cài đặt các RMM so với các remote access trojans khác," Proofpoint lưu ý vào tháng 3 năm 2025. "Ngoài ra, các công cụ như vậy có thể né tránh phần mềm chống vi-rút hoặc phát hiện mạng vì các trình cài đặt thường được ký, các payload hợp pháp được phân phối một cách độc hại."
