Follow
貨物窃盗のデジタルトランスフォーメーション
サイバー犯罪グループは、遠隔監視管理(RMM)ツールを送り込み、システムを制御することで、運送および物流企業を侵害し、偽の貨物を掲載し、配送の入札を行い、物理的な貨物を盗んで金銭的利益を得ています。
調査
この脅威クラスターは、少なくとも2025年6月以来活動しており、ScreenConnect、SimpleHelp、PDQ Connect、Fleetdeck、N‑able、LogMeIn ResolveといったRMM製品を使用しています。初期のアクセスは侵害された荷物掲示板アカウントやフィッシングメールによって行われ、役者はネットワークの偵察を行い、WebBrowserPassViewのような資格情報収集ツールを展開します。その後、業界のワークフローを悪用して詐欺的な貨物を投稿し、盗難を調整します。このキャンペーンは、署名された正当なRMMインストーラーを利用して検出を回避しており、以前のNetSupportなどの情報窃取ツールの配信活動と関連付けられています。
緩和
組織は、承認されていないRMMソフトウェアのインストールを制限し、既知のRMMドメインとシグネチャーに関するネットワーク検出ルールを実装し、外部送信者からのメールで提供された実行可能ファイルとMSIファイルをブロックし、荷物掲示板とメールアカウントに多要素認証を強制し、フィッシングの試みを認識するためのユーザートレーニングを提供する必要があります。
対応
侵害が検出された場合、影響を受けたエンドポイントを隔離し、侵害された資格情報を無効にし、不正なRMMエージェントを削除し、C2インフラストラクチャを特定するためのフォレンジック分析を実施し、法執行機関と保険会社に通知します。荷物掲示板アカウントのセキュリティを確認し、強化し、不正な貨物投稿を監視します。
mermaid graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 %% Nodes action_phishing[“<b>Action</b> – <b>T1204.004 User Execution: Malicious File</b><br />被害者に送信された悪意のある添付ファイルを含むフィッシングメール”] class action_phishing action action_execute_payload[“<b>Action</b> – <b>T1218.007 Signed Binary Proxy Execution: Msiexec</b><br />システムユーティリティを使用して悪意のある.exeまたは.msiペイロードを実行”] class action_execute_payload action action_install_rat[“<b>Action</b> – <b>T1219 Remote Access Tools</b><br />侵害されたホストにリモートアクセスツールをインストール”] class action_install_rat action malware_rat[“<b>Malware</b> – <b>Name</b>: リモートアクセスツール<br /><b>Description</b>: 永続的なリモートコントロールを可能にする”] class malware_rat malware action_c2[“<b>Action</b> – <b>T1104 Command and Control</b><br />指示を受け取るためのC2チャネルを確立”] class action_c2 action action_recon[“<b>Action</b> – 偵察<br /><b>T1082 システム情報の発見</b>, <b>T1592.002 ソフトウェアの特定</b>, <b>T1590.004 ネットワークトポロジーの発見</b><br />システム、ソフトウェア、およびネットワークの詳細を収集”] class action_recon action action_credential_dump[“<b>Action</b> – <b>T1555.003 ファイル内の資格情報: ウェブブラウザ</b><br />WebBrowserPassViewを使用して保存されたウェブのログイン情報を抽出”] class action_credential_dump action tool_webbrowserpassview[“<b>Tool</b> – <b>Name</b>: WebBrowserPassView<br /><b>Description</b>: ブラウザから保存されたパスワードを取得”] class tool_webbrowserpassview tool action_valid_accounts[“<b>Action</b> – <b>T1078 有効なアカウント</b><br />収集した資格情報を使用して認証”] class action_valid_accounts action action_lateral_movement[“<b>Action</b> – <b>T1021.006 リモートサービス: WinRM</b><br />Windowsリモート管理を使用して横方向に移動”] class action_lateral_movement action %% Connections action_phishing u002du002d>|へと繋がる| action_execute_payload action_execute_payload u002du002d>|実行する| action_install_rat action_install_rat u002du002d>|インストールする| malware_rat malware_rat u002du002d>|と通信する| action_c2 action_c2 u002du002d>|有効にする| action_recon action_recon u002du002d>|データを提供| action_credential_dump action_credential_dump u002du002d>|使用する| tool_webbrowserpassview action_credential_dump u002du002d>|に繋がる| action_valid_accounts action_valid_accounts u002du002d>|有効にする| action_lateral_movement
攻撃フロー
シミュレーションの手引き
シミュレーションの実行
前提条件: テレメトリーとベースラインの前提条件チェックが合格したこと。
根拠: このセクションでは、検出ルールをトリガーするために設計された敵の技術的方法(TTP)の正確な実行を示します。コマンドと記述は、必ずTTPを直接反映し、検出ロジックが期待する正確なテレメトリーを生成することを目的としなければなりません。抽象的または無関係な例は誤診を引き起こします。
-
攻撃の説明とコマンド:
敵は物流部門の上級管理者のメールアカウント (“carla@logistics.com”) を侵害しました。配信の成功を最大化するため、攻撃者は最近の出荷(「荷物確認」)についての既存のスレッドに返信し、リモート監視管理(RMM)ツールの実行可能インストーラーを指す悪意のあるリンクを挿入します。受信者がリンクをクリックするとネットワーク接続ログがHTTPリクエストを示します。.exeと.msiのペイロード。- 悪意のあるメールの作成(件名に「荷物」を含め、本文には 「.exe」 および 「.msi」 の文字列を含めます)。
- 送信侵害されたアカウントを介して。
-
必要に応じてクリックをシミュレートし、ネットワーク接続のテレメトリーを生成するために
Invoke-WebRequestを被害者のマシンから呼び出します。
-
回帰テストスクリプト:
<# T1219 / T1566.001のシミュレーションスクリプト。 ステップ: 1. 必要な文字列を含む悪意のあるメールを送信します。 2. (オプション)クリックをシミュレートしてネットワークトラフィックを生成します。 #> # ==== 1. 悪意のあるメールの送信 ==== $smtpServer = "smtp.mycompany.com" $from = "carla@logistics.com" $to = "dave@logistics.com" $subject = "荷物確認 - 対応必要" $body = @" こんにちはデイブ、 更新された荷物の詳細を確認し、最新の処理ツールをダウンロードしてください。