به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، شرکت امنیت سایبری پروف پوینت (Proofpoint) از اواخر ماه می این فعالیتها را ردیابی کرده و اعلام کرده است که نمیتواند این حملات را به یک عامل تهدید خاص نسبت دهد، اما احتمال میدهد که این گروه بهاحتمال زیاد انگیزه مالی داشته باشد.
برای دسترسی به قربانیان خود، هکرها از حسابهای ایمیل معتبر و هکشده متعلق به شرکتهای حملونقل و کشتیرانی استفاده کرده و در مکالمات ایمیلی موجود لینکها و پیوستهای مخرب ارسال میکنند.
بدافزارهایی که از طریق این حملات توزیع میشوند شامل لوما استیلر (Lumma Stealer)، استیل سی (StealC)، دانا بات (DanaBot) و آرک کلاینت۲ (Arechclient2) هستند که همگی برای سرقت اطلاعات از دستگاههای قربانیان طراحی شدهاند.
شرکت پروف پوینت حداقل ۱۵ حساب ایمیل هکشده که در این کمپین استفاده شدهاند را شناسایی کرده است، اما هنوز مشخص نیست که هکرها چگونه به این حسابها دسترسی پیدا کردهاند.
در برخی از حملات، هکرها همچنین نرمافزارهای معتبر مورد استفاده در مدیریت عملیات حملونقل و ناوگان، از جمله سامسارا (Samsara)، ای ام بی لاجستیک (AMB Logistic) و آسترا تی ام اس (Astra TMS) را جعل کردهاند.
محققان نام قربانیان خاصی را که تحت تأثیر این حملات قرار گرفتهاند اعلام نکردهاند، اما اظهار داشتند که این قربانیان شامل تعداد کمی از مشتریان در صنایع حملونقل و لجستیک در آمریکای شمالی هستند.
محققان عنوان کردند:
عوامل تهدید بهطور فزایندهای طعمههایی را طراحی میکنند که واقعیتر به نظر برسند تا گیرندگان را ترغیب کنند روی لینکها کلیک کرده یا پیوستها را دانلود کنند.
گزارش نشان میدهد که هدفگیری خاص و نفوذ به سازمانهای حملونقل و لجستیک و همچنین استفاده از طعمههایی که نرمافزارهای اختصاصی صنعت را جعل میکنند، حاکی از آن است که این عوامل قبل از شروع کمپینهای خود، تحقیقاتی در مورد عملیات شرکتهای هدف انجام میدهند.
محققان همچنین اضافه کردند که زبان مورد استفاده در طعمهها و محتوا نشاندهنده آشنایی با جریانهای کاری معمول در کسبوکارها است.
