원격 접속, 실제 화물: 사이버 범죄자들이 트럭 및 물류 업계를 노리다

화물 절도의 디지털 전환

사이버 범죄 조직이 트럭 및 물류 회사를 손상시키고 시스템을 제어하기 위해 원격 모니터링 및 관리 (RMM) 도구를 배포하여 가짜 화물 운송을 게시하고 입찰하며 실물 화물을 훔쳐 재정적 이익을 얻고 있습니다.

조사

이 위협 클러스터는 최소한 2025년 6월부터 활동을 이어왔으며, ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N‑able 및 LogMeIn Resolve 등의 RMM 제품을 사용하고 있습니다. 손상된 로드보드 계정이나 피싱 이메일을 통해 초기 접근을 얻은 후, 행위자는 네트워크 정찰을 수행하고 WebBrowserPassView와 같은 자격 증명 수집기를 배포합니다. 그런 다음 산업 워크플로를 악용하여 사기성 운송을 게시하고 절도를 조율합니다. 이 캠페인은 서명된 합법적인 RMM 설치 파일을 활용하여 탐지를 회피하며 NetSupport 및 기타 수집기를 배포하는 이전 활동과 연결되어 있습니다.

완화

조직은 승인되지 않은 RMM 소프트웨어 설치를 제한하고, 알려진 RMM 도메인 및 서명을 위한 네트워크 탐지 규칙을 구현하며, 외부 발송자에 의해 이메일로 전송된 실행 파일 및 MSI 파일을 차단하고, 로드보드 및 이메일 계정에 대한 다중 인증을 사용하며, 피싱 시도를 인식할 수 있는 사용자 교육을 제공해야 합니다.

대응

손상이 감지되면 영향을 받은 엔드포인트를 격리하고, 손상된 자격 증명을 취소하며, 승인되지 않은 RMM 에이전트를 제거하고, C2 인프라를 식별하기 위한 포렌식 분석을 수행하고, 법 집행 기관 및 보험 제공자에게 알립니다. 로드보드 계정 보안을 검토하고 강화하며 사기성 로드 게시를 모니터링합니다.

시뮬레이션 지침

시뮬레이션 실행

전제조건: 텔레메트리 및 기준 사전 비행 점검이 통과해야 합니다.

이유: 이 섹션은 감지 규칙을 트리거하도록 설계된 적대적 기술(TTP)의 정확한 실행을 상세 설명합니다. 명령 및 내러티브는 식별된 TTP를 직접 반영해야 하며, 감지 로직에 의해 예상되는 정확한 텔레메트리를 생성하는 것을 목표로 해야 합니다. 추상적이거나 관련 없는 예시는 오진을 초래할 수 있습니다.

• 공격 내러티브 및 명령:
  적이 시니어 물류 매니저(“carla@logistics.com”)의 이메일 계정을 손상시켰습니다. 전달 성공을 극대화하기 위해 공격자는 최근 배송(“로드 확인”)에 대한 기존 스레드에 답장을 보내고 RMM 도구의 실행 가능 설치 프로그램을 가리키는 악의적 링크를 삽입합니다. 제목 줄에는 규칙의 제목 필터를 충족시키기 위해 의도적으로 “로드”라는 단어가 포함되어 있습니다. 수신자가 링크를 클릭하면 네트워크 연결 로그에는 악의적 도메인을 제공하는 HTTP 요청이 표시됩니다..exe 및 .msi 페이로드.

  1. 악의적인 이메일 작성 (제목에 “로드” 포함, 본문에 “.exe” 및 “.msi” 문자열 포함).
  2. 보내기 손상된 계정을 통해.
  3. 선택적으로, 피해자 기계에서 Invoke-WebRequest를 호출하여 네트워크 연결 텔레메트리를 생성하는 클릭을 시뮬레이션합니다.

• 회귀 테스트 스크립트:

  <# 
  T1219 / T1566.001에 대한 시뮬레이션 스크립트.
  단계:
    1. 필요한 문자열이 포함된 악의적인 이메일 전송.
    2. (선택 사항) 네트워크 트래픽을 생성하는 클릭 시뮬레이션.
  #>
  
  # ==== 1. 악의적인 이메일 전송 ====
  $smtpServer = "smtp.mycompany.com"
  $from       = "carla@logistics.com"
  $to         = "dave@logistics.com"
  $subject    = "로드 확인 – 조치 필요"
  $body       = @"
  안녕하세요 데이브,
  
  업데이트된 로드 세부사항을 검토하고 최신 처리 도구를 다운로드하세요: