SOC Prime Bias: Mittel

04 Nov. 2025 09:03
newspaper icon Proofpoint

Fernzugriff, echte Ladung: Cyberkriminelle zielen auf Lkw und Logistik

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Fernzugriff, echte Ladung: Cyberkriminelle zielen auf Lkw und Logistik
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Digitale Transformation des Frachtdiebstahls

Cyberkriminelle Gruppen kompromittieren Speditions- und Logistikunternehmen, indem sie Remote-Monitoring- und Management-Tools (RMM) bereitstellen, um die Kontrolle über Systeme zu erlangen. Anschließend nutzen sie den Zugang, um gefälschte Frachtladungen zu posten, auf Sendungen zu bieten und physische Ladungen zu stehlen, um finanziellen Gewinn zu erzielen.

Untersuchung

Der Bedrohungscluster ist seit mindestens Juni 2025 aktiv und verwendet RMM-Produkte wie ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N‑able und LogMeIn Resolve. Nach dem ersten Zugriff über kompromittierte Frachtaustauschkonten oder Phishing-E-Mails führen die Akteure eine Netzwerkerkundung durch und setzen Anmeldeinformationssammler wie WebBrowserPassView ein. Anschließend nutzen sie Arbeitsabläufe der Branche aus, um betrügerische Ladungen zu posten und Diebstahl zu koordinieren. Die Kampagne nutzt signierte legitime RMM-Installer, um die Erkennung zu umgehen, und wurde mit früheren Aktivitäten in Verbindung gebracht, bei denen NetSupport und andere Stealer bereitgestellt wurden.

Abschwächung

Organisationen sollten die Installation nicht genehmigter RMM-Software einschränken, Netzwerk-Erkennungsregeln für bekannte RMM-Domänen und Signaturen umsetzen, ausführbare und MSI-Dateien blockieren, die per E-Mail von externen Absendern zugestellt werden, die Mehrfaktor-Authentifizierung für Frachtaustausch- und E-Mail-Konten durchsetzen und Benutzerschulungen zur Erkennung von Phishing-Versuchen bereitstellen.

Reaktion

Wenn ein Kompromiss entdeckt wird, isolieren Sie die betroffenen Endpunkte, widerrufen Sie kompromittierte Anmeldeinformationen, entfernen Sie nicht autorisierte RMM-Agenten, führen Sie eine forensische Analyse durch, um C2-Infrastruktur zu identifizieren, und benachrichtigen Sie Strafverfolgungs- und Versicherungsunternehmen. Überprüfen und sichern Sie die Sicherheit von Frachtaustauschkonten und überwachen Sie betrügerische Ladungspostings.

mermaid graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 %% Nodes action_phishing[„<b>Aktion</b> – <b>T1204.004 Benutzerausführung: Bösartige Datei</b><br />Phishing-E-Mail mit bösartigem Anhang an Opfer gesendet“] class action_phishing action action_execute_payload[„<b>Aktion</b> – <b>T1218.007 Signierte Binärdatei-Proxy-Ausführung: Msiexec</b><br />Ausführung von bösartiger .exe oder .msi-Payload mit System-Utilities“] class action_execute_payload action action_install_rat[„<b>Aktion</b> – <b>T1219 Remote-Zugriff-Tools</b><br />Remote-Zugriff-Tool auf kompromittierten Host installieren“] class action_install_rat action malware_rat[„<b>Malware</b> – <b>Name</b>: Remote Access Tool<br /><b>Beschreibung</b>: Ermöglicht persistente Fernsteuerung“] class malware_rat malware action_c2[„<b>Aktion</b> – <b>T1104 Command and Control</b><br />C2-Kanal einrichten, um Anweisungen zu empfangen“] class action_c2 action action_recon[„<b>Aktion</b> – Aufklärung<br /><b>T1082 Systeminformationserkennung</b>, <b>T1592.002 Softwareerkennung</b>, <b>T1590.004 Erkennung der Netzwerktopologie</b><br />System-, Software- und Netznachweise sammeln“] class action_recon action action_credential_dump[„<b>Aktion</b> – <b>T1555.003 Anmeldeinformationen in Dateien: Webbrowser</b><br />Gespeicherte Web-Anmeldeinformationen mithilfe von WebBrowserPassView extrahieren“] class action_credential_dump action tool_webbrowserpassview[„<b>Tool</b> – <b>Name</b>: WebBrowserPassView<br /><b>Beschreibung</b>: Ruft gespeicherte Passwörter aus Browsern ab“] class tool_webbrowserpassview tool action_valid_accounts[„<b>Aktion</b> – <b>T1078 Gültige Konten</b><br />Geerntete Anmeldeinformationen zur Authentifizierung verwenden“] class action_valid_accounts action action_lateral_movement[„<b>Aktion</b> – <b>T1021.006 Remote-Dienste: WinRM</b><br />Seitwärtsbewegung mit Windows Remote Management“] class action_lateral_movement action %% Connections action_phishing u002du002d>|führt zu| action_execute_payload action_execute_payload u002du002d>|führt aus| action_install_rat action_install_rat u002du002d>|installiert| malware_rat malware_rat u002du002d>|kommuniziert mit| action_c2 action_c2 u002du002d>|ermöglicht| action_recon action_recon u002du002d>|liefert Daten für| action_credential_dump action_credential_dump u002du002d>|nutzt| tool_webbrowserpassview action_credential_dump u002du002d>|führt zu| action_valid_accounts action_valid_accounts u002du002d>|ermöglicht| action_lateral_movement

Angriffsablauf

Simulationsanweisungen

Simulationsausführung

Voraussetzung: Der Telemetrie- & Baseline-Pre-Flight-Check muss bestanden haben.

Begründung: In diesem Abschnitt werden die präzisen Ausführungen der gegnerischen Technik (TTP) beschrieben, die entwickelt wurde, um die Erkennungsregel auszulösen. Die Kommandos und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die erwartete Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.

  • Angriffserzählung & Befehle:
    Ein Angreifer hat das E-Mail-Konto eines leitenden Logistikmanagers („carla@logistics.com“) kompromittiert. Um den Erfolg der Lieferung zu maximieren, antwortet der Angreifer auf einen bestehenden Thread über eine kürzliche Sendung („Ladungsbestätigung“) und fügt einen bösartigen Link ein, der zu einem ausführbaren Installer für ein Remote-Monitoring- und Management-Tool (RMM) führt. Die Betreffzeile enthält absichtlich das Wort „Ladung“, um den Filter der Regel für den Betreff zu erfüllen. Wenn der Empfänger auf den Link klickt, zeigen die Netzwerkverbindungsprotokolle eine ausgehende HTTP-Anfrage zu einer bösartigen Domain, die ein.exe und .msi Payload bereitstellt.

    1. Bösartige E-Mail verfassen (Betreff enthält „Ladung“, Text enthält sowohl „.exe“ als auch „.msi“-Zeichenfolgen).
    2. Senden über das kompromittierte Konto.
    3. Wahlweise, den Klick simulieren, indem Sie Invoke-WebRequest von der Opfermaschine aus aufrufen, um die Netzwerkverbindungstelemetrie zu erzeugen.

  • Regressionstest-Script:

    <# 
Simulationsskript für T1219 / T1566.001.
Schritte:
  1. Senden Sie eine bösartige E-Mail mit den erforderlichen Zeichenfolgen.
  2. (Optional) Simulieren Sie einen Klick, um den Netzwerkverkehr zu erzeugen.
#>

# ==== 1. Bösartige E-Mail senden ====
$smtpServer = "smtp.mycompany.com"
$from       = "carla@logistics.com"
$to         = "dave@logistics.com"
$subject    = "Ladungsbestätigung – Aktion erforderlich"
$body       = @"
Hallo Dave,

Bitte überprüfe die aktualisierten Ladungsdetails und lade das neueste Verarbeitungstool herunter:

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Kostenlos beitreten