🚚 **新型网络犯罪聚焦货运与物流**：不法分子正将目标转向货运与物流公司，利用远程监控管理（RMM）软件作为主要工具，旨在通过非法手段窃取货物。此类“网络赋能型盗窃”尤其偏好食品饮料类商品。

🎣 **多样的攻击手段并用**：攻击者采用多种策略进行入侵，包括劫持已泄露的电子邮件账户以接管现有对话，向资产型承运人、货运经纪公司发送钓鱼邮件，以及利用被入侵账户在货运信息平台发布虚假货运信息，诱导承运人上钩。

🛠️ **合法RMM工具被滥用**：攻击者通过恶意链接部署ScreenConnect、SimpleHelp、PDQ Connect等合法RMM工具，一旦获得远程访问权限，便进行系统侦察、窃取凭证，甚至删除现有订单、屏蔽调度员通知、伪造货运订单并协调运输流程，以完成货物盗窃。

🛡️ **RMM工具的隐蔽性优势**：RMM软件因其在企业环境中的广泛应用，能帮助攻击者有效“隐身”，不易被安全解决方案标记为恶意程序。其合法性以及通常带有数字签名的安装程序，使得它们能够规避杀毒软件和网络检测，降低了攻击的技术门槛。

HackerNews 编译，转载请注明出处：

不法分子正将目标日益聚焦于货运与物流公司，试图通过植入远程监控管理（RMM）软件非法牟利，最终实现货物盗窃。

据 安全公司Proofpoint调查，该威胁团伙至少自 2025 年 6 月起开始活跃。他们与有组织犯罪集团合作，入侵陆路运输行业相关机构，核心目标是窃取实体货物。在这类 “网络赋能型盗窃” 中，食品饮料类商品是最主要的被盗对象。

研究人员奥莱・维拉德森与塞莱娜・拉森在一份提交给The Hacker News的报告中表示：“被盗货物很可能通过网络销售或运至海外。在已观测到的攻击活动中，攻击者会先入侵企业，再利用非法获取的权限竞标真实货运订单，最终完成盗窃。”

与历史攻击的关联与差异

此次攻击活动与 2024 年 9 月披露的一系列攻击存在相似性 —— 当时攻击者针对北美运输物流公司，使用 Lumma Stealer、StealC、NetSupport RAT 等信息窃取工具与远程访问木马（RAT）实施入侵。但目前尚无证据表明两类攻击出自同一威胁团伙。

在 Proofpoint 此次监测到的入侵浪潮中，身份不明的攻击者采用了多种攻击手段：

劫持已泄露的电子邮件账户，接管现有对话；向资产型承运人、货运经纪公司及综合供应链服务商发送钓鱼邮件；利用被入侵的账户在货运信息平台（load boards）发布虚假货运信息。

报告指出：“攻击者通过被盗账户在货运平台发布虚假订单，再向咨询这些订单的承运人发送含恶意链接的邮件。这种手段利用了货运谈判中固有的信任关系与时效性压力。”

攻击实施流程与工具滥用

毫不意外，邮件中的恶意链接会指向带有陷阱的 MSI 安装程序或可执行文件（EXE），这些文件会部署 ScreenConnect、SimpleHelp、PDQ Connect、Fleetdeck、N-able、LogMeIn Resolve 等合法 RMM 工具。在部分案例中，攻击者会组合使用多款工具，例如通过 PDQ Connect 投放并安装 ScreenConnect 与 SimpleHelp。

一旦获取远程访问权限，攻击者会先开展系统与网络侦察，随后植入 WebBrowserPassView 等凭证窃取工具，获取更多账号密码，进一步渗透企业内网。

在至少一起案例中，攻击者还滥用获取的权限：删除现有货运订单、屏蔽调度员通知；将自己的设备添加到调度员电话分机；以被入侵承运人的名义预订货运订单，并协调运输流程。

RMM 工具被滥用的核心原因

使用 RMM 软件对攻击者而言有多重优势：

无需自行开发定制恶意软件，降低技术门槛；这类工具在企业环境中广泛应用，可帮助攻击者 “隐身”，通常不会被安全解决方案标记为恶意程序。

Proofpoint 早在 2025 年 3 月就曾指出：“攻击者创建并传播受控的远程监控工具相当容易。由于这些工具常被用作合法软件，终端用户对安装 RMM 工具的警惕性，往往低于对其他远程访问木马的警惕性。此外，这类工具的安装程序通常带有数字签名，属于合法载荷，因此可能避开杀毒软件或网络检测。”

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文