SOC Prime Bias: Moyen

04 Nov 2025 09:03
newspaper icon Proofpoint

Accès à distance, véritable cargaison : Les cybercriminels ciblent le camionnage et la logistique

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Accès à distance, véritable cargaison : Les cybercriminels ciblent le camionnage et la logistique
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Transformation numérique du vol de fret

Les groupes de cybercriminels compromettent les entreprises de transport et de logistique en se servant d’outils de surveillance et de gestion à distance (RMM) pour prendre le contrôle des systèmes, puis utilisent cet accès pour publier de faux chargements de fret, enchérir sur des expéditions et voler du fret physique à des fins financières.

Enquête

Le groupe de menaces est actif depuis au moins juin 2025 et utilise des produits RMM tels que ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N‑able et LogMeIn Resolve. Après un accès initial via des comptes de panneaux de chargement compromis ou des emails de phishing, les acteurs effectuent une reconnaissance réseau et déploient des collecteurs d’informations d’identification comme WebBrowserPassView. Ils exploitent ensuite les flux de travail de l’industrie pour publier des chargements frauduleux et coordonner les vols. La campagne tire parti des installateurs RMM légitimes signés pour échapper à la détection et a été reliée à des activités antérieures livrant NetSupport et d’autres voleurs.

Atténuation

Les organisations doivent restreindre l’installation de logiciels RMM non approuvés, mettre en œuvre des règles de détection réseau pour les domaines et signatures RMM connus, bloquer les fichiers exécutables et MSI livrés par email depuis des expéditeurs externes, imposer l’authentification multi‑facteur pour les comptes de panneaux de chargement et d’email, et former les utilisateurs à reconnaître les tentatives de phishing.

Réponse

Si une compromission est détectée, isolez les terminaux affectés, révoquez les informations d’identification compromises, supprimez les agents RMM non autorisés, effectuez une analyse forensic pour identifier l’infrastructure C2, et informez les forces de l’ordre et les prestataires d’assurance. Révisez et renforcez la sécurité des comptes de panneaux de chargement et surveillez les publications de chargements frauduleux.

mermaid graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 %% Nodes action_phishing[« <b>Action</b> – <b>T1204.004 Exécution utilisateur : Fichier malveillant</b><br/>Email de phishing contenant une pièce jointe malveillante envoyée aux victimes »] class action_phishing action action_execute_payload[« <b>Action</b> – <b>T1218.007 Exécution de binaire signé par proxy : Msiexec</b><br/>Exécuter une charge utile .exe ou .msi malveillante en utilisant les utilitaires système »] class action_execute_payload action action_install_rat[« <b>Action</b> – <b>T1219 Outils d’accès à distance</b><br/>Installer un outil d’accès à distance sur l’hôte compromis »] class action_install_rat action malware_rat[« <b>Malware</b> – <b>Nom</b> : Outil d’accès à distance<br/><b>Description</b> : Permet un contrôle à distance persistant »] class malware_rat malware action_c2[« <b>Action</b> – <b>T1104 Commandement et contrôle</b><br/>Établir un canal C2 pour recevoir les instructions »] class action_c2 action action_recon[« <b>Action</b> – Reconnaissance<br/><b>T1082 Découverte d’information système</b>, <b>T1592.002 Identification logicielle</b>, <b>T1590.004 Découverte de topologie réseau</b><br/>Rassembler des détails sur le système, les logiciels et le réseau »] class action_recon action action_credential_dump[« <b>Action</b> – <b>T1555.003 Identifiants dans les fichiers : Navigateur Web</b><br/>Extraire des identifiants web stockés en utilisant WebBrowserPassView »] class action_credential_dump action tool_webbrowserpassview[« <b>Outil</b> – <b>Nom</b> : WebBrowserPassView<br/><b>Description</b> : Récupère les mots de passe enregistrés depuis les navigateurs »] class tool_webbrowserpassview tool action_valid_accounts[« <b>Action</b> – <b>T1078 Comptes valides</b><br/>Utiliser des identifiants récoltés pour s’authentifier »] class action_valid_accounts action action_lateral_movement[« <b>Action</b> – <b>T1021.006 Services à distance : WinRM</b><br/>Se déplacer latéralement en utilisant Windows Remote Management »] class action_lateral_movement action %% Connections action_phishing u002du002d>|mène à| action_execute_payload action_execute_payload u002du002d>|exécute| action_install_rat action_install_rat u002du002d>|installe| malware_rat malware_rat u002du002d>|communique avec| action_c2 action_c2 u002du002d>|active| action_recon action_recon u002du002d>|fournit des données pour| action_credential_dump action_credential_dump u002du002d>|utilise| tool_webbrowserpassview action_credential_dump u002du002d>|mène à| action_valid_accounts action_valid_accounts u002du002d>|active| action_lateral_movement

Flux d’attaque

Instructions de simulation

Exécution de la simulation

Pré-requis : Le contrôle pré-vol télémetrie & base doit avoir réussi.

Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un diagnostic erroné.

  • Narratif & Commandes de l’attaque :
    Un adversaire a compromis le compte email d’un directeur logistique principal (« carla@logistics.com »). Pour maximiser le succès de la livraison, l’attaquant répond à un fil de discussion existant concernant une récente expédition (« confirmation de charge ») et insère un lien malveillant qui pointe vers un installateur exécutable pour un outil de surveillance et de gestion à distance (RMM). La ligne de sujet contient délibérément le mot « load » pour satisfaire le filtre de sujet de la règle. Lorsque le destinataire clique sur le lien, les journaux de connexion réseau montreront une requête HTTP sortante vers un domaine malveillant servant un .exe et .msi charge utile.

    1. Composer un email malveillant (le sujet inclut « load », le corps contient les chaînes « .exe » et « .msi »).
    2. Envoyer via le compte compromis.
    3. Optionnellement, simuler le clic en invoquant Invoke-WebRequest depuis la machine victime pour générer la télémétrie de connexion réseau.

  • Script de test de régression :

    <# 
Script de simulation pour T1219 / T1566.001.
Étapes :
  1. Envoyer un email malveillant avec les chaînes requises.
  2. (Optionnel) Simuler un clic pour générer du trafic réseau.
#>

# ==== 1. Envoyer un email malveillant ====
$smtpServer = "smtp.mycompany.com"
$from       = "carla@logistics.com"
$to         = "dave@logistics.com"
$subject    = "Confirmation de charge – Action requise"
$body       = @"
Bonjour Dave,

Veuillez vérifier les détails de charge mis à jour et télécharger l'outil de traitement le plus récent :

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.

Inscrivez-vous gratuitement