SOC Prime Bias: Medio

04 Nov 2025 09:03
newspaper icon Proofpoint

Accesso Remoto, Vero Carico: I Criminali Informatici Prendono di Mira Camion e Logistica

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Accesso Remoto, Vero Carico: I Criminali Informatici Prendono di Mira Camion e Logistica
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Trasformazione Digitale del Furto di Carico

Gruppi di criminali informatici stanno compromettendo le aziende di trasporti e logistica distribuendo strumenti di monitoraggio e gestione remota (RMM) per ottenere il controllo dei sistemi, utilizzando poi l’accesso per pubblicare carichi falsi, fare offerte sulle spedizioni e rubare carico fisico per guadagni finanziari.

Indagine

Il cluster di minacce è attivo da almeno giugno 2025 e utilizza prodotti RMM come ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N‑able e LogMeIn Resolve. Dopo l’accesso iniziale tramite account load-board compromessi o email di phishing, gli attori eseguono ricognizioni di rete e implementano raccoglitori di credenziali come WebBrowserPassView. Sfruttano quindi i flussi di lavoro del settore per pubblicare carichi fraudolenti e coordinare il furto. La campagna sfrutta installatori RMM legittimi firmati per eludere il rilevamento ed è stata collegata ad attività precedenti che distribuivano NetSupport e altri stealer.

Mitigazione

Le organizzazioni dovrebbero limitare l’installazione di software RMM non approvato, implementare regole di rilevamento di rete per domini e firme RMM conosciuti, bloccare file eseguibili e MSI consegnati via email da mittenti esterni, applicare l’autenticazione multi-fattore per account load-board ed email, e fornire formazione agli utenti per riconoscere i tentativi di phishing.

Risposta

Se viene rilevata una compromissione, isolare i punti finali interessati, revocare le credenziali compromesse, rimuovere agenti RMM non autorizzati, condurre un’analisi forense per identificare l’infrastruttura C2, e notificare le forze dell’ordine e i fornitori di assicurazioni. Rivedere e rinforzare la sicurezza degli account load-board e monitorare per la pubblicazione di carichi fraudolenti.

graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 %% Nodes action_phishing[“<b>Azione</b> – <b>T1204.004 Esecuzione da parte dell’utente: File malevolo</b><br />Email di phishing contenente un allegato malevolo inviata alle vittime”] class action_phishing action action_execute_payload[“<b>Azione</b> – <b>T1218.007 Esecuzione proxy tramite binari firmati: Msiexec</b><br />Esegue payload malevoli .exe o .msi utilizzando utilità di sistema”] class action_execute_payload action action_install_rat[“<b>Azione</b> – <b>T1219 Strumenti di accesso remoto</b><br />Installa uno strumento di accesso remoto sull’host compromesso”] class action_install_rat action malware_rat[“<b>Malware</b> – <b>Nome</b>: Strumento di accesso remoto<br /><b>Descrizione</b>: Abilita il controllo remoto persistente”] class malware_rat malware action_c2[“<b>Azione</b> – <b>T1104 Comando e Controllo</b><br />Stabilisce un canale C2 per ricevere istruzioni”] class action_c2 action action_recon[“<b>Azione</b> – Ricognizione<br /><b>T1082 Scoperta delle informazioni di sistema</b>, <b>T1592.002 Identificazione del software</b>, <b>T1590.004 Scoperta della topologia di rete</b><br />Raccoglie dettagli di sistema, software e rete”] class action_recon action action_credential_dump[“<b>Azione</b> – <b>T1555.003 Credenziali nei file: Browser web</b><br />Estrae le credenziali web memorizzate utilizzando WebBrowserPassView”] class action_credential_dump action tool_webbrowserpassview[“<b>Strumento</b> – <b>Nome</b>: WebBrowserPassView<br /><b>Descrizione</b>: Recupera le password salvate dai browser”] class tool_webbrowserpassview tool action_valid_accounts[“<b>Azione</b> – <b>T1078 Account validi</b><br />Utilizza le credenziali raccolte per l’autenticazione”] class action_valid_accounts action action_lateral_movement[“<b>Azione</b> – <b>T1021.006 Servizi remoti: WinRM</b><br />Movimento laterale tramite Windows Remote Management”] class action_lateral_movement action %% Connections action_phishing u002du002d>|porta a| action_execute_payload action_execute_payload u002du002d>|esegue| action_install_rat action_install_rat u002du002d>|installa| malware_rat malware_rat u002du002d>|comunica con| action_c2 action_c2 u002du002d>|abilita| action_recon action_recon u002du002d>|fornisce dati per| action_credential_dump action_credential_dump u002du002d>|usa| tool_webbrowserpassview action_credential_dump u002du002d>|porta a| action_valid_accounts action_valid_accounts u002du002d>|abilita| action_lateral_movement

Flusso di Attacco

Istruzioni di Simulazione

Esecuzione di Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere superato.

Motivo: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.

  • Narrazione & Comandi dell’Attacco:
    Un avversario ha compromesso l’account email di un manager senior della logistica (“carla@logistics.com”). Per massimizzare il successo della consegna, l’attaccante risponde a un thread esistente su una spedizione recente (“conferma carico”) e inserisce un collegamento malevolo che punta a un installatore eseguibile per uno strumento di Monitoraggio e Gestione Remota (RMM). La linea dell’oggetto contiene deliberatamente la parola “carico” per soddisfare il filtro dell’oggetto della regola. Quando il destinatario clicca sul link, i log della connessione di rete mostreranno una richiesta HTTP in uscita a un dominio malevolo che serve un .exe e .msi payload.

    1. Componi email malevola (l’oggetto include “carico”, il corpo contiene le stringhe “.exe” e “.msi”).
    2. Invia tramite l’account compromesso.
    3. Facoltativamente, simula il clic invocando Invoke-WebRequest dalla macchina vittima per generare la telemetria della connessione di rete.

  • Script di Test di Regressione:

    <# 
Simulation script for T1219 / T1566.001.
Steps:
  1. Send malicious email with required strings.
  2. (Optional) Simulate a click to generate network traffic.
#>

# ==== 1. Send malicious email ====
$smtpServer = "smtp.mycompany.com"
$from       = "carla@logistics.com"
$to         = "dave@logistics.com"
$subject    = "Load Confirmation – Action Required"
$body       = @"
Hi Dave,

Please review the updated load details and download the latest processing tool:

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis