- 26,334
- 46
- 8 Ноя 2022
Слитые чаты раскрыли циничную изнанку самого масштабного взлома в отрасли.
С сентября 2025 года операторы грузоперевозок и логистические компании в США и Европе остаются под прицелом масштабной фишинговой кампании . За атаками стоит финансово мотивированная группировка Diesel Vortex, которая за несколько месяцев сумела собрать тысячи учётных данных и выстроить разветвлённую инфраструктуру для обмана участников рынка.
Кампанию раскрыла команда платформы мониторинга тайпсквоттинга Have I Been Squatted. Она обнаружила открытый репозиторий с SQL базой данных, относящейся к фишинговому проекту под названием Global Profit. Его продвигали в криминальной среде как MC Profit Always. Внутри нашли и логи Telegram-вебхуков, позволившие проследить переписку операторов.
Злоумышленники использовали 52 домена и похитили не менее 1649 уникальных пар логинов и паролей . В общей сложности специалисты обнаружили около 3500 украденных записей. Среди пострадавших — DAT Truckstop, TIMOCOM, Teleroute, Penske Logistics, Girteka и Electronic Funds Source. Речь идёт о сервисах, которые ежедневно используют брокеры, перевозчики и операторы цепочек поставок.
К расследованию также подключилась компания Ctrl-Alt-Intel, специализирующаяся на анализе токенизированной инфраструктуры. С помощью открытых источников она сопоставила домены, учётные записи и возможные связи с коммерческими структурами. Один и тот же адрес электронной почты, применявшийся для регистрации фишинговых ресурсов, обнаружился в корпоративных документах российских логистических компаний, работающих в том же секторе.
Схема атак включала рассылку писем через Zoho SMTP и Zeptomail. В адресах отправителей и темах использовали кириллические омоглифы, чтобы обходить фильтры. Дополнительно применяли голосовой фишинг и проникали в Telegram-каналы, где общаются водители и диспетчеры. После перехода по ссылке жертва попадала на минималистичную HTML-страницу с iframe, загружающим копию целевой платформы. Далее запускался многоступенчатый механизм сокрытия на доменах в зонах .top и .icu.
Поддельные страницы практически полностью повторяли интерфейсы оригинальных сервисов и собирали не только логины и пароли, но и номера MC и DOT, данные RMIS, PIN-коды, одноразовые коды двухфакторной аутентификации, сведения о платежах и чеках. Процесс контролировался через Telegram-ботов — оператор решал, когда переходить к следующему этапу, запросить дополнительные данные или оборвать сессию.
В ходе анализа были выявлены и признаки более широкой схемы, включающей компрометацию почтовых ящиков, подмену перевозчиков и так называемое двойное брокерство. В последнем случае злоумышленники используют украденные данные перевозчиков для бронирования грузов и перенаправляют их на фиктивные точки приёма — классический пример атаки на цепочки поставок .
Инфраструктуру Diesel Vortex в итоге нейтрализовали в рамках совместных действий GitLab, Cloudflare, Google Threat Intelligence, CrowdStrike и Microsoft Threat Intelligence Center. Полный перечень индикаторов компрометации опубликован в отчёте Have I Been Squatted.
С сентября 2025 года операторы грузоперевозок и логистические компании в США и Европе остаются под прицелом масштабной фишинговой кампании . За атаками стоит финансово мотивированная группировка Diesel Vortex, которая за несколько месяцев сумела собрать тысячи учётных данных и выстроить разветвлённую инфраструктуру для обмана участников рынка.
Кампанию раскрыла команда платформы мониторинга тайпсквоттинга Have I Been Squatted. Она обнаружила открытый репозиторий с SQL базой данных, относящейся к фишинговому проекту под названием Global Profit. Его продвигали в криминальной среде как MC Profit Always. Внутри нашли и логи Telegram-вебхуков, позволившие проследить переписку операторов.
Злоумышленники использовали 52 домена и похитили не менее 1649 уникальных пар логинов и паролей . В общей сложности специалисты обнаружили около 3500 украденных записей. Среди пострадавших — DAT Truckstop, TIMOCOM, Teleroute, Penske Logistics, Girteka и Electronic Funds Source. Речь идёт о сервисах, которые ежедневно используют брокеры, перевозчики и операторы цепочек поставок.
К расследованию также подключилась компания Ctrl-Alt-Intel, специализирующаяся на анализе токенизированной инфраструктуры. С помощью открытых источников она сопоставила домены, учётные записи и возможные связи с коммерческими структурами. Один и тот же адрес электронной почты, применявшийся для регистрации фишинговых ресурсов, обнаружился в корпоративных документах российских логистических компаний, работающих в том же секторе.
Схема атак включала рассылку писем через Zoho SMTP и Zeptomail. В адресах отправителей и темах использовали кириллические омоглифы, чтобы обходить фильтры. Дополнительно применяли голосовой фишинг и проникали в Telegram-каналы, где общаются водители и диспетчеры. После перехода по ссылке жертва попадала на минималистичную HTML-страницу с iframe, загружающим копию целевой платформы. Далее запускался многоступенчатый механизм сокрытия на доменах в зонах .top и .icu.
Поддельные страницы практически полностью повторяли интерфейсы оригинальных сервисов и собирали не только логины и пароли, но и номера MC и DOT, данные RMIS, PIN-коды, одноразовые коды двухфакторной аутентификации, сведения о платежах и чеках. Процесс контролировался через Telegram-ботов — оператор решал, когда переходить к следующему этапу, запросить дополнительные данные или оборвать сессию.
В ходе анализа были выявлены и признаки более широкой схемы, включающей компрометацию почтовых ящиков, подмену перевозчиков и так называемое двойное брокерство. В последнем случае злоумышленники используют украденные данные перевозчиков для бронирования грузов и перенаправляют их на фиктивные точки приёма — классический пример атаки на цепочки поставок .
Инфраструктуру Diesel Vortex в итоге нейтрализовали в рамках совместных действий GitLab, Cloudflare, Google Threat Intelligence, CrowdStrike и Microsoft Threat Intelligence Center. Полный перечень индикаторов компрометации опубликован в отчёте Have I Been Squatted.
- Источник новости
- www.securitylab.ru
