ภัยไซเบอร์คุกคามภาคโลจิสติกส์! แฮกเกอร์ใช้เครื่องมือควบคุมระยะไกล เจาะเครือข่ายขนส่งเพื่อ 'ขโมยสินค้าจริง'

Published:

 

กลุ่มอาชญากรไซเบอร์กำลังมุ่งเป้าไปที่บริษัทรถบรรทุกและโลจิสติกส์มากขึ้นเรื่อย ๆ โดยมีเป้าหมายเพื่อติดตั้งซอฟต์แวร์ Remote Monitoring and Management (RMM) หรือเครื่องมือสำหรับตรวจสอบและจัดการระบบจากระยะไกล เพื่อหวังผลกำไรทางการเงิน และที่ร้ายแรงกว่านั้นคือ ขโมยสินค้าขนส่ง (Cargo Freight) จริง ๆ

แก๊งค์อาชญากรรมไซเบอร์ผนึกกำลังกับอาชญากรรมทางกายภาพ

นักวิจัยจาก Proofpoint เชื่อว่ากลุ่มภัยคุกคามนี้เริ่มปฏิบัติการมาตั้งแต่เดือนมิถุนายน 2025 โดยทำงานร่วมกับ กลุ่มอาชญากรรมที่มีการจัดตั้ง (organized crime groups) เพื่อเจาะเข้าสู่บริษัทในอุตสาหกรรมการขนส่งภาคพื้นดิน ด้วยเป้าหมายสุดท้ายคือ ปล้นทรัพย์สินทางกายภาพ สินค้าที่ถูกขโมยมากที่สุดคือ ผลิตภัณฑ์อาหารและเครื่องดื่ม

"สินค้าที่ถูกขโมยส่วนใหญ่น่าจะถูกนำไปขายออนไลน์หรือส่งไปต่างประเทศ" นักวิจัยกล่าว "ในการรณรงค์โจมตีที่ตรวจพบ ผู้คุกคามมีเป้าหมายที่จะแทรกซึมบริษัทและใช้สิทธิ์การเข้าถึงโดยมิชอบเพื่อ ประมูลการขนส่งสินค้าจริง และสุดท้ายก็ขโมยสินค้าเหล่านั้นไป"

การโจมตีนี้มีความคล้ายคลึงกับการโจมตีในเดือนกันยายน 2024 ที่เคยพุ่งเป้าไปที่บริษัทขนส่งในอเมริกาเหนือ โดยใช้โปรแกรมขโมยข้อมูล เช่น Lumma Stealer, StealC, หรือ NetSupport RAT แต่ยังไม่มีหลักฐานที่บ่งชี้ว่าเป็นฝีมือของคนร้ายกลุ่มเดียวกัน

กลโกงหลากหลายเพื่อแทรกซึมระบบ

ในการบุกรุกระลอกปัจจุบันที่ Proofpoint ตรวจพบ ผู้โจมตีที่ไม่ระบุตัวตนได้ใช้หลายวิธีในการแทรกซึม ดังนี้:

  • แฮ็กอีเมลเพื่อสวมรอย: เข้าควบคุมบัญชีอีเมลที่ถูกบุกรุกเพื่อ จี้การสนทนา ที่กำลังดำเนินอยู่
  • อีเมลฟิชชิ่งแบบเจาะจงเป้าหมาย (Spear-phishing): ส่งไปยังบริษัทขนส่งที่เป็นเจ้าของสินทรัพย์, บริษัทนายหน้าขนส่งสินค้า (freight brokerage firms), และผู้ให้บริการซัพพลายเชนแบบครบวงจร

  • ประกาศหลอกลวงบน Load Boards: โพสต์รายการขนส่งปลอมโดยใช้บัญชีที่ถูกแฮ็กบน กระดานลงประกาศงานขนส่ง (load boards)

"ผู้โจมตีจะโพสต์รายการขนส่งปลอมโดยใช้บัญชีที่ถูกบุกรุกบน Load Boards จากนั้นส่งอีเมลที่มี URL อันตราย ให้กับผู้ขนส่งที่สอบถามเกี่ยวกับงานขนส่งเหล่านั้น" นักวิจัยระบุ "กลยุทธ์นี้ใช้ประโยชน์จากความเชื่อมั่นและความเร่งด่วนที่มีอยู่ในการเจรจาขนส่งสินค้า"

แน่นอนว่า URL อันตรายที่ฝังอยู่ในอีเมลจะนำไปสู่ไฟล์ติดตั้ง MSI หรือไฟล์ปฏิบัติการที่ถูกวางยา ซึ่งจะติดตั้งเครื่องมือ RMM ที่ถูกต้องตามกฎหมาย เช่น ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able และ LogMeIn Resolve ในบางกรณี มีการใช้โปรแกรมเหล่านี้หลายตัวร่วมกัน โดยใช้ PDQ Connect เพื่อติดตั้ง ScreenConnect และ SimpleHelp

ยึดระบบเพื่อลบและจองงานขนส่งใหม่

เมื่อได้สิทธิ์การเข้าถึงจากระยะไกลแล้ว ผู้โจมตีจะเริ่มดำเนินการ สำรวจระบบและเครือข่าย ตามมาด้วยการติดตั้งเครื่องมือขโมยข้อมูลประจำตัว เช่น WebBrowserPassView เพื่อรวบรวมข้อมูลล็อกอินเพิ่มเติมและเจาะลึกเข้าไปในเครือข่ายของบริษัท

มีอย่างน้อยหนึ่งกรณีที่เชื่อว่าผู้คุกคามใช้สิทธิ์เข้าถึงเพื่อ ลบรายการจองที่มีอยู่ และ บล็อกการแจ้งเตือนของพนักงานจัดส่ง (dispatcher) จากนั้นได้เพิ่มอุปกรณ์ของตัวเองเข้าไปในส่วนขยายโทรศัพท์ของพนักงานจัดส่ง และ จองงานขนส่งภายใต้ชื่อผู้ขนส่งที่ถูกบุกรุก พร้อมทั้งประสานงานการขนส่งด้วยตนเอง

การใช้ซอฟต์แวร์ RMM นี้มีข้อดีสำหรับผู้โจมตีหลายประการ ประการแรกคือ ไม่ต้องพัฒนาชุดมัลแวร์ที่ซับซ้อน ขึ้นมาเอง ประการที่สองคือ ทำให้สามารถ หลีกเลี่ยงการตรวจจับ ได้ เนื่องจากเครื่องมือเหล่านี้แพร่หลายในสภาพแวดล้อมองค์กร และโดยปกติแล้วโซลูชันด้านความปลอดภัยจะไม่ได้ติดธงว่าเป็นอันตราย

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก

Tags:

คุณอาจจะชอบ

ดูทั้งหมด
ใหม่กว่า เก่ากว่า
แชร์กับแอปอื่นๆ
คัดลอก ลิงค์ไปยังโพสต์