Networking

Kampanye phishing menargetkan organisasi pengangkutan dan logistik di AS dan Eropa

37
kampanye-phishing-menargetkan-organisasi-pengangkutan-dan-logistik-di-as-dan-eropa
Kampanye phishing menargetkan organisasi pengangkutan dan logistik di AS dan Eropa

Sebuah kelompok ancaman bermotif finansial yang dijuluki “Diesel Vortex” mencuri kredensial dari operator pengangkutan dan logistik di AS dan Eropa dalam serangan phishing menggunakan 52 domain.

Dalam kampanye yang telah berjalan sejak September 2025, pelaku ancaman telah mencuri 1,649 kredensial unik dari platform dan penyedia layanan penting dalam industri pengangkutan.

Beberapa korban Diesel Vortex antara lain DAT Truckstop, TIMOCOM, Teleroute, Penske Logistics, Girteka, dan Electronic Funds Source (EFS).

Para peneliti di platform pemantauan kesalahan ketik, Have I Been Squatted, mengungkap kampanye tersebut setelah menemukan repositori terbuka yang berisi database SQL dari proyek phishing yang oleh pelaku ancaman disebut Global Profit dan memasarkannya ke penjahat dunia maya lain dengan nama MC Profit Always.

Repositori tersebut juga menyertakan file dengan log webhook Telegram yang mengungkapkan komunikasi antara operator layanan phishing. Berdasarkan bahasa yang digunakan, peneliti meyakini bahwa Diesel Vortex adalah aktor berbahasa Armenia yang terhubung dengan infrastruktur Rusia.

Upaya analisis Have I Been Squatted diikuti oleh penyedia infrastruktur tokenisasi Ctrl-Alt-Intel, yang menghubungkan titik-titik antara operator, infrastruktur, dan koneksi ke berbagai perusahaan menggunakan intelijen sumber terbuka.

Dalam laporan teknis yang panjang, penyedia perlindungan kesalahan ketik menyatakan bahwa mereka menemukan hampir 3.500 pasangan kredensial yang dicuri, dengan 1.649 di antaranya unik.

Volume pencurian kredensial Diesel Vortex
Sumber: Apakah Saya Pernah Jongkok

Para peneliti mengatakan bahwa mereka juga menemukan tautan ke peta pikiran yang dibuat oleh anggota kelompok, yang menggambarkan “operasi yang sangat terorganisir” lengkap dengan pusat panggilan, dukungan surat, peran pemrogram, dan staf yang bertanggung jawab untuk menemukan pengemudi, operator, dan kontak logistik.

Selain itu, peta tersebut memberikan rincian tentang saluran akuisisi yang mencakup pasar DAT One, kampanye email, penipuan konfirmasi tarif, dan pendapatan untuk berbagai tingkatan operasional.

“Itu [Diesel Vortex] grup ini membangun infrastruktur phishing khusus untuk platform yang digunakan sehari-hari oleh pialang pengangkutan, perusahaan angkutan truk, dan operator rantai pasokan. Papan muatan, portal manajemen armada, sistem kartu bahan bakar, dan pertukaran barang semuanya ada dalam cakupannya,” Sudahkah Saya Jongkok kata peneliti.

“Platform-platform ini berada di persimpangan dengan volume transaksi yang tinggi dan tenaga kerja yang menjadi target biasanya bukan fokus utama program keamanan perusahaan, dan para operator jelas mengetahuinya.”

Serangan tersebut melibatkan pengiriman email phishing ke target melalui mailer kit phishing, menggunakan Zoho SMTP dan Zeptomail, dan menggabungkan trik homoglif Sirilik di bidang pengirim dan subjek untuk menghindari filter keamanan.

Phishing suara dan infiltrasi ke saluran Telegram yang sering dikunjungi oleh personel truk dan logistik juga digunakan dalam serangan tersebut.

Saat korban mengeklik tautan phishing, mereka diarahkan ke laman HTML minimal di domain ‘.com’ dengan iframe layar penuh yang memuat konten phishing, diikuti dengan proses penyelubungan 9 tahap pada domain sistem (.top/.icu).

Halaman phishing adalah tiruan tingkat piksel dari platform logistik yang ditargetkan. Tergantung pada targetnya, mereka dapat menangkap kredensial, data izin, nomor MC/DOT, rincian login RMIS, PIN, kode otentikasi dua faktor, token keamanan, jumlah pembayaran, nama penerima pembayaran, dan nomor cek.

Dua halaman phishing digunakan dalam serangan yang sama
Sumber: Apakah Saya Pernah Jongkok

Proses phishing berada di bawah kendali langsung operator, yang memutuskan kapan akan menyetujui langkah-langkah dan mengaktifkan fase selanjutnya melalui bot Telegram.

Tindakan yang mungkin dilakukan termasuk meminta kata sandi untuk Google, Microsoft Office 365, dan Yahoo, metode 2FA, mengarahkan korban, atau bahkan memblokir mereka di tengah sesi.

Sekilas tentang serangan itu
Sumber: Apakah Saya Pernah Jongkok

Para peneliti menyatakan bahwa operasi Diesel Vortex, termasuk panel dan domain phishing serta repositori GitLab, terganggu menyusul tindakan terkoordinasi yang melibatkan GitLab, Cloudflare, Google Threat Intelligence, CrowdStrike, dan Microsoft Threat Intelligence Center.

Untuk bagiannya, Ctrl-Alt-Intel melakukan Investigasi OSINT mulai dari obrolan Telegram operator dalam bahasa Armenia tentang pencurian kargo atau dana, dan alamat email.

Bersamaan dengan nama domain yang ditemukan dalam kode sumber panel phishing, para peneliti mengungkapkan koneksi ke individu dan perusahaan di Rusia yang terlibat dalam perdagangan grosir, transportasi, dan pergudangan.

Para peneliti mencatat bahwa “email yang sama yang diidentifikasi digunakan untuk mendaftarkan infrastruktur phishing muncul di [Russian] pengajuan perusahaan untuk perusahaan logistik yang beroperasi di vertikal yang sama yang ditargetkan oleh Diesel Vortex.”

Berdasarkan bukti yang ditemukan, para peneliti menentukan bahwa Diesel Vortex mencuri kredensial dan juga mengoordinasikan aktivitas terkait dengan peniruan identitas barang, penyusupan kotak surat, dan perantara ganda atau pengalihan kargo.

Perantara ganda mengacu pada penggunaan identitas pengangkut yang dicuri untuk memesan muatan dan kemudian menugaskan kembali atau mengalihkan muatan barang, yang memungkinkan pengiriman barang ke tujuan. titik penjemputan palsu sehingga bisa dicuri.

Indikator lengkap kompromi (IoC), termasuk jaringan, Telegram, infrastruktur, email, dan alamat mata uang kripto, tersedia di bagian bawah laporan Have I Been Squatted.

Masa depan infrastruktur TI telah tiba

Infrastruktur TI modern bergerak lebih cepat dibandingkan dengan alur kerja manual.

Dalam panduan Tines baru ini, pelajari bagaimana tim Anda dapat mengurangi penundaan manual yang tersembunyi, meningkatkan keandalan melalui respons otomatis, dan membangun serta menskalakan alur kerja cerdas di atas alat yang sudah Anda gunakan.

Exit mobile version