Tweet
Diesel Vortex: Khi Phishing nhắm thẳng vào "yết hầu" của ngành Logistics & Supply Chain
Chào anh em,
Gần đây cộng đồng bảo mật vừa bóc mẽ một chiến dịch phishing cực kỳ bài bản có tên là Diesel Vortex. Điểm đáng sợ của chiến dịch này không chỉ nằm ở kỹ thuật (mặc dù kỹ thuật của nó cũng thuộc hàng top), mà nằm ở việc chúng nhắm mục tiêu cực kỳ chính xác vào các chuyên gia trong ngành vận tải, logistics và chuỗi cung ứng (Supply Chain) tại Mỹ và Châu Âu.
Với những anh em nào đang làm IT/Security cho các công ty xuất nhập khẩu, logistics hay hải quan, đây là thông tin cần phải update ngay lập tức!
1. Mục tiêu và Mô hình hoạt động
Diesel Vortex không hack lung tung. Chúng nhắm thẳng vào thông tin đăng nhập của các nền tảng logistics và thanh toán vận tải lớn như DAT Truckstop, Penske Logistics, Electronic Funds Source (EFS), và Timocom.
Chúng hoạt động theo mô hình Phishing-as-a-Service (PhaaS) với bí danh nội bộ là "GlobalProfit" (có thể đang bán dịch vụ này cho các nhóm tội phạm nói tiếng Nga khác dưới cái tên "MC Profit Always").
2. Chuỗi Tấn Công (Attack Chain)
Hacker không chỉ gửi mail rác (spearphishing) mà còn kết hợp gọi điện (voice phishing) và xâm nhập vào các nhóm Telegram chuyên về vận tải hàng hóa.
Mục tiêu là lừa nhân viên điều phối, nhân viên kế toán đăng nhập vào các trang web giả mạo. Tại đây, chúng sẽ đánh chặn cả Username/Password và mã MFA (Multi-Factor Authentication) theo thời gian thực.
Khi đã có quyền truy cập, hậu quả không chỉ là rò rỉ dữ liệu thông thường. Hacker trực tiếp:
Đây là phần anh em Security cần lưu tâm nhất. Bọn này dùng kỹ thuật che giấu rất hiểm để qua mặt cả trình duyệt và các công cụ lọc web:
Vì thanh địa chỉ (Address Bar) vẫn hiển thị tên miền sạch, nạn nhân hoàn toàn tin tưởng. Trong khi đó, các trình duyệt và công cụ bảo mật đôi khi chỉ check tên miền lớp ngoài (top-level) mà bỏ sót nội dung độc hại được load ngầm bên trong iframe.
Ngoài ra, qua Telegram, những kẻ điều hành có thể theo dõi màn hình thao tác của nạn nhân theo thời gian thực và "điều phối" nạn nhân qua các màn hình đăng nhập giả của Google, Microsoft để vét sạch thông tin.
4. Thiệt hại ghi nhận (Dựa trên database bị lộ)
Các nhà nghiên cứu đã tình cờ lấy được một file backup SQL (36.6MB) bị cấu hình sai của bọn này và phát hiện quy mô khủng khiếp:
Ngành Supply Chain vốn liên kết chặt chẽ với nhau, một công ty bị thủng có thể làm ảnh hưởng đến toàn bộ chuỗi giao nhận. Do đó, anh em cần lưu ý:
Gần đây cộng đồng bảo mật vừa bóc mẽ một chiến dịch phishing cực kỳ bài bản có tên là Diesel Vortex. Điểm đáng sợ của chiến dịch này không chỉ nằm ở kỹ thuật (mặc dù kỹ thuật của nó cũng thuộc hàng top), mà nằm ở việc chúng nhắm mục tiêu cực kỳ chính xác vào các chuyên gia trong ngành vận tải, logistics và chuỗi cung ứng (Supply Chain) tại Mỹ và Châu Âu.
Với những anh em nào đang làm IT/Security cho các công ty xuất nhập khẩu, logistics hay hải quan, đây là thông tin cần phải update ngay lập tức!
1. Mục tiêu và Mô hình hoạt động
Diesel Vortex không hack lung tung. Chúng nhắm thẳng vào thông tin đăng nhập của các nền tảng logistics và thanh toán vận tải lớn như DAT Truckstop, Penske Logistics, Electronic Funds Source (EFS), và Timocom.
Chúng hoạt động theo mô hình Phishing-as-a-Service (PhaaS) với bí danh nội bộ là "GlobalProfit" (có thể đang bán dịch vụ này cho các nhóm tội phạm nói tiếng Nga khác dưới cái tên "MC Profit Always").
2. Chuỗi Tấn Công (Attack Chain)
Hacker không chỉ gửi mail rác (spearphishing) mà còn kết hợp gọi điện (voice phishing) và xâm nhập vào các nhóm Telegram chuyên về vận tải hàng hóa.
Mục tiêu là lừa nhân viên điều phối, nhân viên kế toán đăng nhập vào các trang web giả mạo. Tại đây, chúng sẽ đánh chặn cả Username/Password và mã MFA (Multi-Factor Authentication) theo thời gian thực.
Khi đã có quyền truy cập, hậu quả không chỉ là rò rỉ dữ liệu thông thường. Hacker trực tiếp:
- Chuyển hướng các lô hàng có giá trị (Freight redirection).
- Đánh cắp tiền trong các tài khoản thanh toán vận tải (gian lận séc EFS).
- Thực hiện "Double-brokering": Bí mật bán lại thông tin lô hàng cho các nhà vận chuyển khác để ăn chênh lệch, khiến nhà vận chuyển thật không nhận được tiền.
Đây là phần anh em Security cần lưu tâm nhất. Bọn này dùng kỹ thuật che giấu rất hiểm để qua mặt cả trình duyệt và các công cụ lọc web:
- Hệ thống tên miền kép: Chúng sử dụng một tên miền trông rất sạch và đáng tin cậy để gửi cho nạn nhân (Advertise Domain).
- Invisible iFrame: Khi nạn nhân bấm vào link sạch đó, trang web sẽ load một iframe vô hình chứa tên miền lừa đảo thật sự (System Domain).
Vì thanh địa chỉ (Address Bar) vẫn hiển thị tên miền sạch, nạn nhân hoàn toàn tin tưởng. Trong khi đó, các trình duyệt và công cụ bảo mật đôi khi chỉ check tên miền lớp ngoài (top-level) mà bỏ sót nội dung độc hại được load ngầm bên trong iframe.
Ngoài ra, qua Telegram, những kẻ điều hành có thể theo dõi màn hình thao tác của nạn nhân theo thời gian thực và "điều phối" nạn nhân qua các màn hình đăng nhập giả của Google, Microsoft để vét sạch thông tin.
4. Thiệt hại ghi nhận (Dựa trên database bị lộ)
Các nhà nghiên cứu đã tình cờ lấy được một file backup SQL (36.6MB) bị cấu hình sai của bọn này và phát hiện quy mô khủng khiếp:
- 52 tên miền phishing typo-squatting được sử dụng.
- 75.840 email liên hệ trong ngành logistics nằm trong tầm ngắm.
- Hơn 1.649 thông tin đăng nhập đã bị đánh cắp.
Ngành Supply Chain vốn liên kết chặt chẽ với nhau, một công ty bị thủng có thể làm ảnh hưởng đến toàn bộ chuỗi giao nhận. Do đó, anh em cần lưu ý:
- MFA thông thường (SMS/OTP) đã bị vô hiệu hóa trước kỹ thuật đánh chặn thời gian thực. Khuyến nghị nâng cấp lên khóa cứng FIDO2 (như YubiKey) hoặc Passkeys liên kết chặt chẽ với thiết bị phần cứng.
- Tăng cường giám sát tên miền (Domain Monitoring) để phát hiện sớm các tên miền typosquatting nhái thương hiệu của đối tác logistics.
- Cảnh báo ngay cho các phòng ban nghiệp vụ (Kế toán, Điều phối vận tải, Khai báo hải quan) về các cuộc gọi, email yêu cầu xác thực lại thông tin tài khoản trên các nền tảng như EFS hay DAT.