近年來，供應鏈的數位化進程提高了效率，卻也為網路犯罪分子開啟了新的攻擊窗口。駭客集團正將目標轉向貨運產業，利用合法遠端監控管理工具（RMM）作為攻擊武器，進行大規模的實體貨物竊盜。這些活動不僅危及貨運公司的數位資產，更造成巨額實體損失。國家保險犯罪局估計每年貨物竊盜損失高達 350 億美元，而網路攻擊已成為現代貨物竊盜主要手段。

威脅行為者正利用惡意連結和電子郵件攻擊貨運經紀人和卡車運輸公司，以部署遠端監控和管理工具 (RMM)，從而劫持貨物並竊取實體物品。據電子郵件安全公司 Proofpoint 稱，這類攻擊越來越普遍，自 8 月以來已記錄到近 24 起攻擊活動，每起活動發送的訊息多達 1000 條。 貨物竊盜是指透過劫持運輸途中的卡車或拖車、改變運輸路線或冒充合法承運人等方式竊取商業貨物。之後，貨物會轉移到虛假的提貨點。攻擊者的主要目標是在目標公司的系統上安裝 RMM（遠端監控管理）工具，例如ScreenConnect、SimpleHelp、PDQ Connect、Fleetdeck、N-able 和 LogMeIn Resolve，從而賦予攻擊者完全的遠端控制、偵察和憑證收集能力。 研究人員表示，威脅行為者透過直接向擁有資產的承運商、貨運經紀公司和綜合供應鏈提供者發送電子郵件來實現其目標。上圖是威脅行為者發送的惡意郵件的真實案例，這是發送給被貨運平台誘惑的承運商的電子郵件回覆建議的防禦措施包括限制安裝未經批准的 RMM 工具、監控網路活動以及在電子郵件閘道層級封鎖 .EXE 和 .MSI 檔案附件。

攻擊者達成目標涉及多重社會工程學手法。他們利用被入侵的帳戶在貨運平台上發布詐欺性的貨物清單，或入侵經紀人/調度員的電子郵件帳戶，藉機劫持線程，引導受害者點擊惡意 URL。這些外部頁面經過精心設計，帶有逼真的承運商品牌，並提示受害者下載可執行文件或安裝程式，進而安裝 RMM 工具。Proofpoint 觀察到，攻擊者常同時部署多個 RMM 工具，例如 PDQ Connect 會接著下載並安裝 ScreenConnect 和 SimpleHelp。一旦取得初步控制權，駭客便立即展開系統偵察，並部署如 WebBrowserPassView 等憑證收集工具。取得 RMM 控制權後，駭客能完全操控電腦，執行諸如修改訂單、封鎖調度員通知、將自己的設備添加到分機、並冒充受害承運商進行載貨預訂等行為。攻擊者利用內線知識，鎖定利潤最高的貨物。他們鎖定的實體貨物包括食品、飲料和電子產品。這些被盜貨物隨後被實體攔截或重新導向至虛假提貨點，最終透過網路或海外運輸進行出售。研究人員認為，這些網路犯罪分子正與有組織的犯罪集團合作，共同危害地面運輸業的實體貨運安全。除了 RMM 工具外，調查人員還觀察到 NetSupport、DanaBot、Lumma Stealer 和 StealC 等資訊竊取惡意軟體也被用於相關活動中。為應對此類新型威脅，企業應對員工進行密集的社會工程學訓練，並強化網路環境的縱深防禦。

資料來源：https://www.bleepingcomputer.com/news/security/hackers-use-rmm-tools-to-breach-freighters-and-steal-cargo-shipments/