Analyse geeft kijkje in het draaiboek van een vrachtdief na een cyberinbraak
Onderzoekers van cybersecuritybedrijf Proofpoint hebben een kwaadaardige aanval geanalyseerd die gericht was op transportbedrijven. De malafide payload werd uitgevoerd in een gecontroleerde omgeving, beheerd door Proofpoint-partner Deception.pro. Hoewel de omgeving geen transportbedrijf vertegenwoordigde bleef deze meer dan een maand gecompromitteerd. Dit bood de onderzoekers de mogelijkheid om gedetailleerd inzicht te krijgen in de activiteiten, tools en besluitvorming van de dreigingsactor na de compromittering.
Proofpoint documenteerde eerder al campagnes van deze dreigingsactor tegen transport- en logistieke bedrijven. Deze campagnes hadden als doel ladingdiefstal en vrachtfraude te vereenvoudigen. Uit de interactie met de kwaadaardige payload blijkt dat de dreigingsactor persistentie bereikt via meerdere remote management tools (RMM). Daarnaast maakt de actor gebruik van een voorheen onbekende Signing-as-a-Service-mogelijkheid, die is ontworpen om detectie te omzeilen en beveiligingswaarschuwingen te onderdrukken.
Doelwit wordt uitgebreid verkend
Ook blijkt de aanvallers zijn doelwit uitgebreid te verkennen. De focus ligt daarbij op het in kaart brengen van financiële toegangsmogelijkheden, zoals bank-, boekhoud- en belastingsoftware, en geldtransferdiensten. Daarnaast lag de focus op transportgerelateerde entiteiten, waaronder tankkaartdiensten, betalingsplatforms voor wagenparken en exploitanten van vrachtbeurzen. Deze activiteiten waren waarschijnlijk bedoeld om misdrijven in de transportsector, zoals ladingdiefstal en financiële fraude, te ondersteunen.
De langdurige inbraak toont aan dat financieel gemotiveerde cybercriminelen die transportbedrijven aanvallen, verder gaan dan alleen het verkrijgen van de eerste toegang. Zij richten zich vooral op het behouden van toegang, verkenning en het verzamelen van inloggegevens. Hiermee vinden zij mogelijkheden voor financieel misbruik op transport- en aanverwante financiële platforms. Een deel van deze activiteiten komt overeen met voorbereidend gedrag dat eerder werd waargenomen bij operaties voor vrachtdiefstal en het omleiden van lading.
Signing-as-a-Service
Het gebruik van een Signing-as-a-Service-functie benadrukt de trend dat aanvallers legitieme vertrouwensmechanismen gebruiken om detectie te omzeilen. Voor transport-, logistieke en vrachtbedrijven onderstreept dit onderzoek het belang van het monitoren van ongeautoriseerde RMM-tools, verdachte PowerShell-activiteit en afwijkende browsergegevens die verband houden met toegang tot financiële platforms.
De volledige analyse van de aanval is hier te vinden.
Meer over Proofpoint
Over Wouter Hoeffnagel
